随笔分类 - 漏洞
摘要:环境搭建 https://www.freebuf.com/articles/web/278245.html rsync: /vulhub/rsync/common/ -https://blog.csdn.net/weixin_45006525/article/details/123873166 vu
阅读全文
摘要:Jboss未授权访问 √ 基础了解 JBOSS是一个基于J2EE的开放源代码的应用服务器。JBoss是一个管理EJB的容器和服务器。一般与Tomcat与Jetty绑定使用 Jboss未授权漏洞是指未授权访问管理控制台,通过该漏洞,可以后台管理服务,可以通过脚本命令执行系统命令,如反弹shell 环境
阅读全文
摘要:原理分析 Redis 默认情况下,会绑定在 0.0.0.0:6379,这样将会将 Redis 服务暴露到公网上 如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。 攻击者在未授权访问 Redis 的情况下可以利用 Redis
阅读全文
摘要:load_file读文件 https://www.cnblogs.com/lcamry/p/5504204.html 以less-1为例: ?id=-1' union select 1,2,load_file("/etc/passwd") --+ √ ?id=-1' union select 1,2
阅读全文