摘要:这个漏洞存在于Nostromo web服务上(又名nhttpd),这是一个开源的web服务,在Unix系统上非常流行,例如FreeBSD, OpenBSD等等。 Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服 阅读全文
posted @ 2020-01-04 11:31 Hydraxx 阅读 (68) 评论 (0) 编辑
摘要:本机信息收集指令: query user || qwinsta 查看当前在线用户 net user 查看本机用户 net user /domain 查看域用户 net view & net group "domain computers" /domain 查看当前域计算机列表 第二个查的更多 net 阅读全文
posted @ 2019-12-17 23:56 Hydraxx 阅读 (71) 评论 (0) 编辑
摘要:目前受影响版本:version 1.9.1(最新),官方未发布补丁。 Apache Flink仪表板- >上传恶意的JAR- >提交新工作- >getshell 生成jar包,用nc监听,上传jar包,运行 阅读全文
posted @ 2019-12-16 23:19 Hydraxx 阅读 (66) 评论 (0) 编辑
摘要:Solr是一个独立的企业级搜索应用服务器,它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得到XML格式的返回结果。 首先poc验证 ,随便找个solr的站,验证是否存在漏 阅读全文
posted @ 2019-12-16 22:53 Hydraxx 阅读 (35) 评论 (0) 编辑
摘要:#!/bin/bashVMWARE_VERSION=workstation-15.1.0TMP_FOLDER=/tmp/patch-vmwarerm -fdr $TMP_FOLDERmkdir -p $TMP_FOLDERcd $TMP_FOLDERgit clone https://github. 阅读全文
posted @ 2019-10-16 10:51 Hydraxx 阅读 (95) 评论 (0) 编辑
摘要:菜鸟一枚,大佬轻喷!! Web页面就一张表情图和一句IRC is almost working!(是irc服务么??!!) 查看图片信息,貌似图片没这么简单。。。。 果然没这么简单,不行,得想办法得到密码 继续搜集信息,Nmap(貌似没什么有用的) 扫描所有开放的端口试试 6697-irc?难道要进 阅读全文
posted @ 2019-05-02 17:01 Hydraxx 阅读 (294) 评论 (0) 编辑
摘要:web源码泄漏 .hg源码泄漏: 漏洞成因:hg init的时候会生成.hg,http://www.xx.com/.hg/, 工具:dvcs-ripper,(rip-hg.pl -v -u http://www.xx.com/.hg/) .git源码泄漏: 漏洞成因:在运行git init初始化代码 阅读全文
posted @ 2019-04-24 15:10 Hydraxx 阅读 (1456) 评论 (0) 编辑
摘要:工具集 基础工具:Burpsuite,python,firefox(hackbar,foxyproxy,user-agent,swither等) 扫描工具:nmap,nessus,openvas sql注入工具:sqlmap等 xss平台:xssplatfrom,beef 文件上传工具:cknife 阅读全文
posted @ 2019-04-23 23:02 Hydraxx 阅读 (3850) 评论 (0) 编辑
摘要:CTF(Capture The Flag)中文一般译作夺旗赛,在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会,以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今,已经成为全球范围网络安全圈流行的竞赛形式,2013年全 阅读全文
posted @ 2019-04-23 20:54 Hydraxx 阅读 (2132) 评论 (0) 编辑
摘要:常规安全配置 重要目录和文件权限:合理配置重要目录和文件权限,增强安全性 检查方法:使用ls -l命令查看目录和文件的权限设置情况 加固方法:对于重要目录,建议执行类似操作 chmod -R 750 /etc/rc.d/init.d/* 这样除了root可读,写,执行这个目录下的脚本 umask值 阅读全文
posted @ 2019-04-23 16:24 Hydraxx 阅读 (2178) 评论 (0) 编辑