08 2020 档案
摘要:0x01 漏洞简介及危害 Rsync(remote synchronize)是一个远程数据同步工具,可通过 LAN/WAN 快速同步多台主机间的文件,也可以同步本地硬盘中的不同目录。Rsync 默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。Rsync 的默认端口为
阅读全文
摘要:0x01 漏洞简介以及危害 Hadoop是一个由Apache基金会所开发的分布式系统基础架构,由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
阅读全文
摘要:0x01 什么是Jupyter Notebook Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运
阅读全文
摘要:0x01 漏洞简介以及危害 Docker 是一个开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地在生产环境中部署包括 VMs、bare metal、OpenStack 集群和其他的基础应用平台Docker。 Docker Remo
阅读全文
摘要:0x01 漏洞描述 JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。,默认情况下访问 http://ip:8080/jmx-console 就可以浏览
阅读全文
摘要:0x01 什么是VNC VNC 是虚拟网络控制台Virtual Network Console的英文缩写。它是一款优秀的远程控制工具软件由美国电话电报公司AT&T的欧洲研究实验室开发。VNC是基于 UNXI 和 Linux 的免费开源软件由 VNC Server 和 VNC Viewer 两部分组成
阅读全文
摘要:0x01 漏洞简介以及危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增、删、改、查高危动作)而且可以远程访问数据库。 造成未授权访问的根本原因就在于启动 Mongodb 的时候未设置 --auth 也很少会有人会给数据库添加
阅读全文
摘要:0x01 什么是Jenkins? Jenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,起源于Hudson(Hudson是商用的),主要用于持续、自动的构建/测试软件项目、监控外部任务的运行(这个比较抽象,暂且写上,不做解释)。Jenkins用Java语言编写,可在Tomcat等流行的
阅读全文
摘要:最近发现了一个新的靶场Pentester,感觉都比较基础,闲的没事刷一下,巩固一下基础。 环境部署 官方网址下载地址 环境部署都很简单,可以直接下载iso镜像文件,丢到虚拟机里就好了。安装好环境后查看一下IP 默认端口为80端口 然后就可以愉快地玩耍了 XSS 跨站脚本攻击 Example 1 这关
阅读全文
摘要:0x01 环境搭建 环境介绍 目标靶机:Centos 7 靶机ip:192.168.122.133 攻击机:window 连接工具: (1)redisclient (2)RedisDesktopManager 下载Redis wget http://download.redis.io/release
阅读全文
浙公网安备 33010602011771号