摘要:在配合某省的WA前期渗透侦查CX中,通过/.git/获取到网站源码,查看配置文件发现该系统使用OSS进行文件存储,配置如下: ACCESSKEYID=XXXXX ACCESSKEYSECRET=XXXXX ENDPOINT=oss-cn-beijing.aliyuncs.comDB_HOST=rm- 阅读全文
posted @ 2020-09-28 15:35 sevck 阅读(99) 评论(0) 推荐(0) 编辑
摘要:影响版本: V1.0.0.20180911_beta - V1.0.0.20200506_beta 目前看官方4天了,还没有修复 漏洞代码位置:https://github.com/karsonzhang/fastadmin/blob/master/application/index/control 阅读全文
posted @ 2020-09-24 11:05 sevck 阅读(405) 评论(0) 推荐(0) 编辑
摘要:https://docs.gitlab.com/ee/user/application_security/sast/analyzers.html 阅读全文
posted @ 2020-09-17 19:01 sevck 阅读(38) 评论(0) 推荐(0) 编辑
摘要:rrweb,是前端js,可以将⻚⾯中的 DOM 以及⽤户操作保存为可序列化的数据,以实现远程回放。 常用于监控、回溯、用户行为分析。 当然,从hack的考虑来说,也可以利用XSS,对页面进行录屏窃听等操作。 具体使用方法就不多啰嗦了,可以参考,或者官网文档: https://blog.csdn.ne 阅读全文
posted @ 2020-09-16 18:07 sevck 阅读(198) 评论(0) 推荐(0) 编辑
摘要:转自P牛,vulnhub作者,擅长代码审计和漏洞挖掘,今天看到他的公众号发了一篇这个,正好平时自己的工作也有需求,整理记录如下。 我从2017年做Vulhub开始,一直在和一个麻烦的问题做斗争:在编写Dockerfile的时候,如何减小docker build生成的镜像大小?这篇文章就给大家总结一下 阅读全文
posted @ 2020-09-03 16:29 sevck 阅读(229) 评论(0) 推荐(0) 编辑
摘要:splunk是当下比较火的大数据分析工具,可以收集日志数据、性能数据、网络数据包。这些数据都是一些非结构化的数据,我们可以统一将这些数据统一采集到splunk之后,splunk可以对这些数据进行索引、调查、监控、可视化,告警等等。 还可以做一下机器学习训练等操作,非常方便。 之前的都是比较简单的查询 阅读全文
posted @ 2020-09-01 11:04 sevck 阅读(118) 评论(0) 推荐(0) 编辑
摘要:实际的原因在于mysql 设置的timeout大于你的脚本执行时间,导致django的查询超时。 登录mysql可以查看mysql wait_timeout: SHOW GLOBAL VARIABLES; django为了减少不必要的数据库连接、关闭,复用了数据库连接,当开始一个请求后建立一个连接池 阅读全文
posted @ 2020-08-27 14:42 sevck 阅读(105) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-07-23 15:17 sevck 阅读(0) 评论(0) 推荐(0) 编辑
摘要:身边的两个例子,一个是以前的同事,一个是认识十余年比较好的朋友,感到惋惜,走错了路。 晏昊、黄楼、周霖等盗窃罪二审刑事裁定书 https://wenshu.court.gov.cn/website/wenshu/181107ANFZ0BXSK4/index.html?docId=a412062b43 阅读全文
posted @ 2020-07-14 15:28 sevck 阅读(193) 评论(0) 推荐(0) 编辑
摘要:之前直接在TSRC下载的源码登录经常提示程序错误。 联系TSRC之后,给了thinkphp模板,替换ThinkPHP\Tpl,替换一下这个目录下的tpl模板文件 https://files.cnblogs.com/files/sevck/files.zip 系统源码主要是四个模块: user.php 阅读全文
posted @ 2020-07-14 15:27 sevck 阅读(200) 评论(0) 推荐(0) 编辑
摘要:物理备份文件格式说明 物理备份文件格式文件后缀说明 tar压缩包 .tar.gz 2019年3月26日之前创建的实例,物理备份文件格式为tar压缩包。 xbstream文件包 _qp.xb 2019年3月26日及之后创建的实例,物理备份文件格式为xbstream文件包。 下载MongoDB物理备份文 阅读全文
posted @ 2020-06-10 16:38 sevck 阅读(113) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-06-09 16:17 sevck 阅读(0) 评论(0) 推荐(0) 编辑
摘要:Http 方法路径描述 get /autoconfig 提供了一份自动配置报告,记录哪些自动配置条件通过了,哪些没通过 get /configprops 描述配置属性(包含默认值)如何注入 Bean get /beans 描述应用程序上下文里全部的 Bean,以及它们的关系 get /dump 获取 阅读全文
posted @ 2020-06-05 14:16 sevck 阅读(586) 评论(0) 推荐(0) 编辑
摘要:Azkaban是由Linkedin开源的一个批量工作流任务调度器。用于在一个工作流内以一个特定的顺序运行一组工作和流程。 Azkaban定义了一种KV文件格式来建立任务之间的依赖关系,并提供一个易于使用的web用户界面维护和跟踪你的工作流。 azkaban web UI默认在8443端口 如果使用默 阅读全文
posted @ 2020-06-01 17:39 sevck 阅读(245) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-05-08 15:08 sevck 阅读(0) 评论(0) 推荐(0) 编辑
摘要:www WEB部署目录(或者子目录) ├─app 应用目录 │ ├─common 公共模块目录 │ │ ├─model 公共模型目录 │ ├─admin 后台模块目录 │ │ ├─controller 模块控制器目录 │ │ ├─model 模块模型目录 │ │ ├─validate 模块验证器目录 阅读全文
posted @ 2020-04-26 11:22 sevck 阅读(137) 评论(0) 推荐(0) 编辑
该文被密码保护。 阅读全文
posted @ 2020-04-23 10:41 sevck 阅读(0) 评论(0) 推荐(0) 编辑
摘要:最近自己的一个服务器跑的一个WEB,数据库使用的mongo,有一天忽然发现保存的数据没了。 第一个想到的是未授权,难道被挖矿的恶意清空了?但是不现实啊 我bind是在本地,互联网访问不到,火墙也做了策略。 然后以为自己的mongo配置文件,重启了mongo,重新配置web,第二天看看。第二天发现数据 阅读全文
posted @ 2020-04-15 15:05 sevck 阅读(145) 评论(0) 推荐(0) 编辑
摘要:# 信息收集 由于网站 www.a.com/admin,访问立即跳转到www.a.com/admin/publicer/login 发现是TP,5.0.23,在漏洞的版本范围内,尝试使用: index.php?s=index/\think\app/invokefunction&function=ca 阅读全文
posted @ 2020-04-04 14:02 sevck 阅读(614) 评论(0) 推荐(0) 编辑
摘要:@login_required() def show_page(request): """ 分页 :param request: :return: """ limit = int(request.GET.get("limit")) start = int(request.GET.get("start 阅读全文
posted @ 2020-03-25 13:53 sevck 阅读(243) 评论(0) 推荐(0) 编辑