V2EX donaldliang6 的所有回复第 1 页 / 共 1 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

3 天前

回复了 izToDo 创建的主题信息安全飞牛 OS 疑似 0day 漏洞，许多用户设备遭到攻击，请尽快检查设备或暂停使用

路径： /usr/trim/bin/dockermgr
执行 strings ，结果如下

```
leoknox@LeodeMacBook-Air ~ % strings dockermgr | grep -E "wget|curl|mirror"
curl_easy_cleanup
curl_easy_escape
curl_easy_strerror
curl_url
curl_global_cleanup
curl_easy_unescape
curl_url_get
curl_url_cleanup
curl_url_set
curl_easy_init
curl_easy_setopt
curl_easy_perform
curl_free
curl_slist_append
curl_global_init
curl_easy_getinfo
curl_slist_free_all
curl_easy_reset
libcurl.so.4
mirrors-I
mirrors-I
mirrors-H
mirrors-H
mirrors-H
mirrors-H
mirrors-H
t-mirrorH
mirrors
left-curly-bracket
right-curly-bracket
touch /run/test-mirror.json && dockerd --registry-mirror %s --validate --config-file /run/test-mirror.json
Update the mirrors with v2
Invalid mirror name for url: {}, set to default name: {}
Not found registry-mirrors in daemon.json
Handle daemon mirror url: {}, name: {}
mirrorsV2
current-mirror
registry-mirrors
mirrors-v2
mirrors
Couldn't initialize curl handle
```
其中包含这一行

```
touch /run/test-mirror.json && dockerd --registry-mirror %s --validate --config-file /run/test-mirror.json
```
其中的 %s 可以被用来注入

至于怎么先获取到登录状态，还在挖，估计是挖不出来了
哎，伪造的 cookie 不行

说一下我获得了什么吧
# 系统身份标识
- Machine ID
- 管理员信息
# 加密密钥
- RSA 私钥
- 疑似静态 Secret （应该是系统初始化的 HMAC 密钥）
# 系统架构深度洞察
- RPC 框架: 系统采用自研的 trim-rpc-go 框架，各组件通过 Unix 域套接字（如 /var/run/trim_http_cgi.socket ）进行通信
- 鉴权机制：
1. 双重校验: 系统同时使用 RS256 签名的 JWT （用于身份识别）和 HMAC-SHA256 签名（用于请求完整性校验）
2. 错误码 65534: 该错误码明确代表“签名校验失败”，意味着后端网关 trim_app_cgi 拦截了请求
# 配置管理
- 系统使用 trim_registry 工具动态管理配置，配置信息多以 JSON 格式存储或在内存中维护
# 关键日志分析
- 通过扒下来的 service_logger_data.db3 数据库
1. 确认管理员确实使用 token 方式登录
2. 发现应用中心（ App Center ）频繁记录应用状态（如 APP_STARTED, APP_CRASH ），但目前内存中的 Session Map 计数为 0
# 当前瓶颈与渗透难点
- 无 Session 状态：/run/trim_token_counter 显示当前没有活跃会话，这导致后端不接受任何基于动态 Secret 的请求
- 签名屏障: 虽然获得注入点和私钥，但由于不知道确切的 fnos-Secret 计算逻辑（是静态 UUID 、machine_id 还是两者的派生值），无法通过 trim-rpc-go 的 HMAC 校验

睡了睡了，俺也不是专业的，就是好奇而已
话说我的靶子 nas 是不要了么，都现在了，没关机断网结束映射就算了，系统也没更新

2025 年 10 月 27 日

回复了 donaldliang6 创建的主题 MacBook Air 国补难抢，去看了咸鱼的 mba，这卖家的后包的意思是？

@Babbitt
他是在淘宝第三方购买的 AC+，我和他提这件事了
他愿意给我提供他购买 AC+的相关订单材料
然后还找他之前购买 AC+的淘宝店铺请求开发票
我刻意问了 AC+协议部门，根据序列号查询到的 AC+类型是可以转的
最关键的就是购买凭证，需要上传

2025 年 10 月 26 日

回复了 donaldliang6 创建的主题 MacBook Air 国补难抢，去看了咸鱼的 mba，这卖家的后包的意思是？

@Babbitt 我 6800 收了台，m3 mba ，24+512 ，AC+到 28 年，还没到货，希望安全下车。
卖家一开始只愿意面交，磨了好一会，才愿意出给我

2025 年 10 月 19 日

回复了 donaldliang6 创建的主题 MacBook Air 国补难抢，去看了咸鱼的 mba，这卖家的后包的意思是？

@Tomcatxde 看样子是的，我都给人问烦了，哈哈
![Screenshot_20251019-171929]( https://image.nimama.de/gdhap/2025/10/19/sg8jen.webp)
![Screenshot_20251019-171933]( https://image.nimama.de/gdhap/2025/10/19/sg8wda.webp)
![Screenshot_20251019-171938]( https://image.nimama.de/gdhap/2025/10/19/sg9eax.webp)
![Screenshot_20251019-171942]( https://image.nimama.de/gdhap/2025/10/19/sg9sdk.webp)
![Screenshot_20251019-171946]( https://image.nimama.de/gdhap/2025/10/19/sg9yf1.webp)
![Screenshot_20251019-171949]( https://image.nimama.de/gdhap/2025/10/19/sganpt.webp)
![Screenshot_20251019-171253]( https://image.nimama.de/gdhap/2025/10/19/sgb0zr.webp)

2025 年 10 月 8 日

回复了 Tounea 创建的主题投资 2025.09.30 线下香港银行开户失败！

不知道啊，没打算开中银香港的，下午瞎溜达路过尖沙咀分行，进去瞅一眼，开户号码已派完。
在银行门口试了试线上开户，秒过
然后我就拿着要补签名的那个页面，提示要亲临网点的界面给保安大爷看，保安大爷看一眼就给我取号了，到我之后我就说补签名，问了简单的基础信息，姓名电话地址之类的，复印了通行证身份证过关小票，麻溜的签字，就把我赶走了。
我还是很懵逼的状态，问了柜台一下，这就办好了么？柜台说已经可以正常使用了，用账户号就可以存取款了。
然后我一脸懵逼的走出了网点，还有问题想问，结果一转头，网点关门了
感情好，原来是着急下班，没时间难为我是吧