数据库利用工具
常见数据库连接工具Navicat
支持的数据库
下载地址:https://navicat.com/
DBeaver
支持的数据库
下载地址:https://dbeaver.io/
MongoDB连接工具NoSQLBooster for MongoDB
下载地址:https://nosqlbooster.com/
redis连接工具Another Redis Desktop Manager
下载连接:https://github.com/qishibo/AnotherRedisDesktopManager
InfluxDBStudio 连接工具
下载地址:https://github.com/CymaticLabs/InfluxDBStudio
数据库利用工具Multiple.Database.Utilization.Tools-MDUT
https://github.com/SafeGroceryStore/MDUT/
oracleShell
https://github.com/jas502n/oracleShell
RedisGetshell
htt ...
护网结束
“You don’t get to be a legend by being ordinary.”“你不可能凭借平凡无奇的表现成为传奇。”
云安全-攻击点
公有云攻击点公有云攻击分为两类:
● 针对租户的攻击
云平台API相关特性
● 针对云平台的渗透
各类中间件组件
阅读产品⽂档、阅读架构⽂档、了解相关操作⼿册,了解产品功能和架构模块使⽤的开源组件列表漏洞
租户泄露的AK
云主机的应⽤漏洞(SSRF、RCE、本地⽂件读取等常规漏洞)
云服务公开 API 的利⽤
云产品进⾏⽂件处理属性时引发漏洞
机器学习系统⽀持⾃定义函数
⼤数据计算引擎⽀持UDF
沙箱绕过等
攻击中间件服务
攻击消息队列:Kafka、ActiveMQ、RabbitMQ
分布式服务框架:Dubbo、Zookeeper、TAF
监控或发布服务: hue、splunk、cacti、jenkins、zabbix、ElasticSearch
数据库产品配置
Python、Java、NodeJS沙箱绕过
MySQL/MSSQL/PostGreSQL等
开源产品已知问题
Redis
Mongodb
Hadoop
云产品的默认配置
OSS⽂件存储服务,默认设置为开放,导致⽂件任意下载
端⼝默认对外0**.0.0.0 ...
云安全-简介
云安全
云安全 (Cloud security ),是指基于云计算商业模式应⽤的安全软件,硬件,⽤户,机构,安全云平 台的总称。
云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。
云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。
云安全和传统安全有什么区别
一是网络边界不可见。云计算通过引入虚拟化技术,将物理资源池化,按需分配给用户,这里涉及到计算虚拟化、网络虚拟化、存储虚拟化。
云服务商为用户提供虚拟化实体,对用户而言,以租用的形式使用的虚拟主机、网络和存储,传统的网络边界不可见。
在云计算中,传统的安全问题仍然存在,诸如拒绝服务攻击、中间人攻击、网络嗅探、端口扫描、
云渗透和常规的渗透是没有任何区别的,只是词变了,本质是一样,也会存在常规的漏洞$QL注入、弱口令、文件上传、网站备份泄漏等等,除了常规的Wb漏洞也会随着新技术带来新的风险例如AccessKey泄 ...
Clash 梯子负载均衡
Clash 负载均衡添加代码
点击把下方代码填入
1234567891011121314151617181920parsers: - reg: 'slbable$' yaml: append-proxy-groups: - name: ⚖️ 负载均衡-散列 type: load-balance url: 'http://www.google.com/generate_204' interval: 300 strategy: consistent-hashing - name: ⚖️ 负载均衡-轮询 type: load-balance url: 'http://www.google.com/generate_204' interval: 300 strategy: round-robin commands: ...
HEXO后台-QEXO
项目地址: https://github.com/Qexo/Qexo
文档: https://www.oplog.cn/qexo/start.html
二三年二月
工作 !工作 ?工作 {——}
vulfocus搭建第二种方案-镜像下载问题
搭建问题
上一篇: https://putdown.top/archives/2454ee1f.html
镜像下载的时候没有反应;下载慢等情况.
官方搭建文档: https://fofapro.github.io/vulfocus/#/INSTALL?id=docker-compose-%e5%ae%89%e8%a3%85
第二种方案
搭建开始拉取 vulfocus 和安装项目依赖123在盘符新建文件夹 datacd /datagit clone https://github.com/fofapro/vulfocus.git web
配置环境参数12cd /data/webvim docker-compose.yaml
修改文件
下面还有一处, xxx.xxx.xxx.xxx ,忘记修改了,自行修改下
启动项目1docker-compose up
这时浏览器地址栏输入本机ip即可访问vulfocus服务
预览
镜像问题
靶场镜像下载1https://hub.docker.com/u/vulfocus
例子
1docker pull vulfo ...
漏洞复现-骑士cms任意代码执行(CVE-2020-35339)
环境
先扫一下后台
123http://192.168.169.233:26889/index.php?m=Admin&c=index&a=login根据靶场提示 账号密码都是 adminadmin
漏洞点
资产灯塔系统ARL
环境
docker 环境安装
本人docker版本 : docker desktop (windows版docker)
1https://www.docker.com/
ARL
1https://github.com/TophantTechnology/ARL
安装
docker安装包下载后,直接安装即可
开始安装arl
跟平时安装软件差不多,选择一个盘符
拉取镜像
1docker pull tophant/arl
arl 下载
1git clone https://github.com/TophantTechnology/ARL
进入arl的docker文件夹
1cd ARL/docker/
启动
1docker-compose up -d
网页
12账号 admin密码 arlpass
更新一下poc信息