RAU_crypto:Telerik UI安全利用与测试工具指南

于 2024-08-31 08:15:21 发布
阅读量614 收藏 8
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_01125/article/details/141737906
版权

RAU_crypto:Telerik UI安全利用与测试工具指南

RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.com/gh_mirrors/ra/RAU_crypto

项目介绍

RAU_crypto 是一个专门针对 Telerik UI for ASP.NET AJAX 组件的漏洞利用与安全测试工具,它涵盖了 CVE-2017-11317、CVE-2017-11357 和 CVE-2019-18935 等关键漏洞的自动化利用。此项目基于 Python 3.6+ 开发,依赖于 pycryptodome 库,提供了一套集成方案,包括文件上传攻击和 .NET 反序列化漏洞利用。RAU_crypto 的独特之处在于其灵活性,支持自定义密钥,适用于多种版本的 Telerik UI,并可利用 Burp Collaborator 或 Responder 进行复杂的攻击场景模拟。

项目快速启动

安装与准备

确保您的环境中已经安装了 Python 3.6 或更高版本。接着,您需要安装项目所需的依赖:

pip install -r requirements.txt

使用示例

为了快速启动,您可以使用以下命令查看可用的选项和帮助:

python RAU_crypto.py -h

执行具体操作时,比如上传文件,可以这样使用:

python RAU_crypto.py -u http://target.com/path/to/upload -f path/to/your/file -k your_secret_key

请注意替换 -u 后的目标URL、 -f 后的本地文件路径以及可选的 -k 自定义密钥。

应用案例和最佳实践

安全研究

对于安全研究员,RAU_crypto 可用来验证特定 Telerik UI 实例是否存在已知漏洞,通过模拟攻击行为而不造成实际损害,从而评估风险。

系统管理员

系统管理员可运用此工具来模拟攻击,测试环境的安全配置,及时发现并修复潜在的漏洞,增强系统的安全性。

动态防御策略

在网络防御方面,通过模拟攻击,可以帮助组织识别并实施防护措施,防止真实攻击的成功入侵。

最佳实践

  • 离线测试:始终在受控环境中测试漏洞利用脚本。
  • 合法授权:确保对目标服务器的测试得到合法授权。
  • 安全配置:测试前后检查并调整Telerik UI的配置,确保最大程度的安全加固。

典型生态项目

虽然RAU_crypto专注于特定的Telerik UI漏洞利用,但类似的安全工具和框架共同构成了网络安全生态的一部分。例如,结合使用OWASP ZAP或Burp Suite进行更全面的安全扫描,或是与SIEM(安全信息和事件管理)系统集成,实时监控网络中的潜在威胁。

RAU_crypto是安全领域内的一款有力武器,它不仅强化了我们对特定安全漏洞的理解,也提升了我们在防御和响应上的能力。通过遵循上述指导,用户可以高效地利用该工具进行有效的安全测试和研究。

RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.com/gh_mirrors/ra/RAU_crypto

凤红令Nathania
关注
java sse实例_关于Java:优化SSE代码
weixin_36459164的博客
02-24 604
我目前正在为需要一些性能改进的Java应用程序开发C模块(请参阅提高网络编码编码的性能)。 我试图使用SSE内在语言优化代码,并且其执行速度比Java版本(?20%)要快一些。 但是,它仍然不够快。不幸的是,我在优化C代码方面的经验有限。 因此,我很乐意就如何改善当前的实施方式获得一些想法。构成热点的内部循环如下所示:for (i = 0; i < numberOfGFVectorsInFr...
nou_rau:PHP系统的通用和Elixir版本,网址为https
04-06
NouRau 要启动Phoenix服务器: 使用mix deps.get安装依赖mix deps.get 使用mix ecto.setup创建和迁移数据库 使用npm install在assets目录中安装Node.js依赖项 ... 指南: : 文件: : 论坛: : 资料来源: :
探索RAU_cryptoTelerik UI for ASP.NET AJAX的安全利器
gitblog_00054的博客
06-06 1016
探索RAU_cryptoTelerik UI for ASP.NET AJAX的安全利器 RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.c...
推荐项目:RAU_crypto —— 微软Telerik UI的开源安全审计工具
gitblog_00113的博客
08-30 748
推荐项目:RAU_crypto —— 微软Telerik UI的开源安全审计工具 RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.com/gh...
RAU_crypto 项目使用教程
gitblog_01104的博客
08-31 375
RAU_crypto 项目使用教程 RAU_cryptoTelerik UI for ASP.NET AJAX File upload and .NET deserialisation exploit (CVE-2017-11317, CVE-2017-11357, CVE-2019-18935)项目地址:https://gitcode.com/gh_mirrors/ra/RAU_crypto ...
Telerik: IIS7 & IIS 7.5 and ‘Telerik.Web.UI.WebResource.axd’ is missing in web config
weixin_30402343的博客
07-07 471
Few days ago, I upgraded my work machine from windows XP to windows 7, one of my projects which use global theme and telerik control stopped working on my local machine. Here is the solution I've foun...
RAG 与 RAU:自然语言处理中检索增强语言模型的调查 RAG and RAU: A Survey on Retrieval-Augmented Language Model in Natural
数智笔记
05-03 1232
大型语言模型(LLMs)在自然语言处理(NLP)领域推动了重大进展,但也面临幻觉和需要领域特定知识等挑战。为了缓解这些问题,最近的方法学已将从外部资源检索到的信息与LLMs集成,显著提高了它们在NLP任务中的性能。本调查论文解决了对检索增强语言模型(RALMs)(包括检索增强生成(RAG)和检索增强理解(RAU))的全面概述的缺失,深入研究了它们的范式、演变、分类和应用。本文讨论了RALMs的基本组成部分,包括检索器、语言模型和增强,以及它们的相互作用如何导致多样化的模型结构和应用。
关于Telerik公司的ASP.NET AJAX控件使用的基础入门
agcgodw700916的博客
10-11 158
最近在研究使用Telerik公司的ASP.NET AJAX控件,下面将最简单的入门配置列出来。 1.在Web.config文件中加入如下配置: 1 <configuration> 2 <system.web> 3 <compilation debug="true" targetFramework="4.0" /> 4 ...
[渗透测试][Kali]对DC-1靶机进行渗透测试
多皮哦的博客
07-15 3704
1.搭建渗透平台 2.准备工作 3.扫描端口 4.使用msfconsole扫描网站目录 5.在msfconsole中查询并尝试针对Drupal的工具 6.数据库操作 7.从网页登陆admin账户 8. 得到flag3之后的操作 9. 使用find命令提升权限
~/Telerik.Web.UI.WebResource.axd' is missing in web.config
Silence20120807的专栏
06-04 2014
Problem     : 在WebConfig添加了 页面依然报下面的错误,折腾了半天。最后在官网找到解决办法 如下 You receive the following error even if you had already added the handler. ~/Telerik.Web.UI.WebResource.axd' is missing in web.co
ESD_SmartCare:UWE ESD SmartCare分配
05-26
ESD_SmartCare UWE ESD SmartCare分配 -第11组- 阿什莉·格雷戈里(Ashley Gregory) 亚历山德拉·罗塔鲁(​​Alexandra Rotaru) ... 劳尔·安德烈(Rau​​l-Andrei Ginj)格罗扎特(Groszhart)
计算有理化反正弦变换:将比例转换为有理反正弦单位 (rau's) 以执行线性测试,如 ANOVA-matlab开发
06-01
对比例数据(0 和 1 之间的值)进行线性检验(如 ... 然后可以对 RAU 值执行线性测试。 (p=0.5 大致对应于 50 的 rau)。 RAU(p) 计算比例值 p (0 <= p <= 1) 的有理化反正弦变换。 p 也可以是比例值的向量。
通信与网络中的GPRS DT/CQT测试中异常问题分析
11-19
在通信与网络领域,GPRS(General Packet Radio Service)是一种重要的数据传输技术,它为中国移动提供了数据业务的承载网络,支持各种类型的数据服务。这些服务涉及到多个网络元素,包括PCU(Packet Control Unit)...
基于大模型技术的算力产业监测服务平台设计
09-17
内容概要:本文提出了一种新型算力产业监测服务平台的设计理念,运用国内自主研发的大模型技术支持,通过对传统技术的改进和完善,提出了三层架构的设计方法,即基础设施层(含向量数据库和模型训练)、大模型应用框架层(强化数据处理与多维关系挖掘)及业务层(如智能分析助手)。这种设计方案旨在提高算力产业发展监测与决策制定的质量。 适合人群:电信行业的从业人员及研究人员;算力产业链各环节管理者;政府相关机构和政策决策者。 使用场景及目标:在多种算力相关的应用场景(如云计算中心管理,数据中心监测,政策分析)中辅助决策者进行快速有效的信息获取和技术选择;助力算力产业发展方向的精确把控和战略调整。 其他说明:随着大模型技术的日臻成熟,该算力产业监测服务平台预计将进一步丰富自身的应用领域和服务深度,以促进算力行业更智慧化发展。
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot.zip
最新发布
09-17
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot
吉他谱_What I've Done - Linkin Park.pdf
09-17
初级入门吉他谱 guitar tab
吉他谱_Too sweet - Hozier.pdf
09-17
初级入门吉他谱 guitar tab
Linux使用的一些笔记,包括shell命令,软件,一些实用的网站的整理_Linux_note.zip
09-17
Linux使用的一些笔记,包括shell命令,软件,一些实用的网站的整理_Linux_note
华为设备图标库:V6.0版接入服务器与网络构建指南
图库中的图标涵盖了华为的各种设备和系统,包括接入服务器、网关、SP代理网关、中心MMSC、位置业务系统、流媒体业务系统、下载业务系统、112测试架、矩阵框RSS、ACB、BTV、RAU、RAC、Websms(企业短消息)、infoX...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

凤红令Nathania

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值