自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

预览 取消 提交

自定义博客皮肤

-+
上一步保存

公众号shadow sock7

公众号shadow sock7

  • 博客(8)
  • 收藏
  • 关注
全部文章> 2020年12月
排序:
按最后发布时间
按访问量
RSS订阅
12月 11月 10月 09月 08月 07月 06月 05月 04月 03月 02月 01月

原创 alibaba nacos

下载地址:https://github.com/alibaba/nacos/releases/download/2.0.0-ALPHA.1/nacos-server-2.0.0-ALPHA.1.zip安装启动方法:cd nacos\bin.\startup.cmd -m standalone启动输出:PS C:\Users\Administrator\Downloads\nacos-server-2.0.0-ALPHA.1\nacos\bin> .\startup.cmd -m st

2020-12-31 11:26:31 2341

原创 Dubbo新漏洞

Dubbo的反序列化漏洞比较:[CVE-2019-17564] 当用户选择http协议进行通信时,Apache Dubbo 将接受来自消费者远程调用的POST请求并执行一个反序列化的操作。由于此步骤没有任何安全校验,因此可以造成反序列化执行任意代码。[CVE-2020-1948] 默认反序列化方式存在代码执行漏洞,当 Dubbo 服务端暴露时(默认端口:20880),攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当恶意参数被反序列化时,它将执行恶意代码。参考:ht

2020-12-25 14:22:39 2267

原创 [CVE-2020-7200] HPE Systems Insight Manager (SIM) AMF反序列化RCE

参考:https://testbnull.medium.com/hpe-system-insight-manager-sim-amf-deserialization-lead-to-rce-cve-2020-7200-d49a9cf143c0https://support.hpe.com/hpesc/public/docDisplay?docId=emr_na-c05350888下载地址:https://support.hpe.com/hpesc/public/docDisplay?docId=em

2020-12-22 16:51:34 995

原创 [CVE-2020-35476] OpenTSDB <=2.4.0 RCE

安装条件:ZookeeperHBaseZookeeperwget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.6.2/apache-zookeeper-3.6.2.tar.gzcd confcp zoo_sample.cfg zoo.cfgvi zoo.cfg# 修改dataDir=data,然后启动bin/zkServer.sh startHBaseopentsdb的后端数据存储依赖于HB

2020-12-21 16:52:01 1181

原创 helm安装

参考:https://helm.sh/docs/intro/install/https://github.com/helm/helm/releaseshttps://blog.sonatype.com/how-to-use-nexus-repository-and-helm-for-ci/cd如何使用Sonatype Nexus管理Helm Charts

2020-12-18 17:20:39 201 1

原创 Gitlab 任意文件读取漏洞(CVE-2016-9086)以及gitlab SSRF to redis

使用vulhub的环境:https://github.com/vulhub/vulhub/tree/master/gitlab/CVE-2016-9086任意文件读取漏洞(CVE-2016-9086):GitLab CE/EEversions 8.9, 8.10, 8.11, 8.12, and 8.13任意用户authentication_token泄露漏洞:Gitlab CE/EE versions 8.10.3-8.10.5docker起来之后是这样:新建项目的时候有一个从Gitl

2020-12-16 16:07:08 1221

原创 [CVE-2020-26258/26259]Xstream任意文件删除/SSRF漏洞

漏洞详情CVE-2020-26259:任意文件删除。CVE-2020-26258:SSRF细节poc[CVE-2020-26258] SSRF<map> <entry> <jdk.nashorn.internal.objects.NativeString> <flags>0</flags> <value class='com.sun.xml.internal.bind.v2.run

2020-12-15 11:22:19 3340 8

原创 AMF反序列化/XXE/SSRF漏洞

参考:CVE-2017-5641Previous versions of Apache Flex BlazeDS (4.7.2 and earlier) did not restrict which types were allowed for AMF(X) object deserialization by default.Adobe/Apache Flex Java library历史原因:Flex BlazeDS by Adobe (retired, contributed Flex

2020-12-04 11:16:15 3912

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除