凤凰网rsync信息泄露漏洞

最新推荐文章于 2024-10-10 14:15:00 发布
最新推荐文章于 2024-10-10 14:15:00 发布
阅读量4.5k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124189890
版权
2010年,凤凰网存在rsync信息泄露漏洞,该漏洞细节从8月2日开始逐步对不同级别白帽子公开,直至9月1日对公众公开。漏洞涉及rsync服务未设置用户认证和IP限制,允许未经授权的访问。修复方案建议添加用户认证机制和限制特定IP的访问。
摘要由CSDN通过智能技术生成

漏洞详情

披露状态:

2010-08-02: 细节已通知厂商并且等待厂商处理中
2010-08-04: 厂商已经确认,细节仅向厂商公开
2010-08-14: 细节向核心白帽子及相关领域专家公开
2010-08-24: 细节向普通白帽子公开
2010-09-03: 细节向实习白帽子公开
2010-09-01: 细节向公众公开

简要描述:

凤凰网rsync信息泄露漏洞

详细说明:

凤凰网rsync信息泄露漏洞

漏洞证明:

rsync 220.181.24.119::doc_redup --old-d

修复方案:

添加用户认证和IP限制

版权声明:转载请注明来源 cnbird@乌云

Sword-heart
关注
rsync未授权漏洞复现
weixin_45006525的博客
03-31 5822
漏洞简介: rsync是linux系统下的数据镜像备份工具,使用rsync可以快速增量备份数据,支持本地复制,或与其他ssh、rsync主机同步。该协议默认监听873端口,如果目标开启rsync,并且没有配置ACL或访问密码,就可以未授权读写目标服务器文件。 环境搭建: 本此环境使用docker-vulhub 进入vulhub-rsync,运行docker-compose up -d 环境搭建完成后,用nmap扫描一下,发现服务已经启动 漏洞复现 1.列出模块下的文件 2.下载任意文件 rsync r
每日漏洞 | rsync未授权访问
03-12 3912
每日漏洞 | rsync未授权访问
凤凰网FLV网页播放器源码
02-23
凤凰网FLV网页播放器源码,需要的自己下载吧
凤凰网首页广告代码 JS
06-30
重播广告 浮动广告 浏览器的兼容性 IE6的绝对定位 重播广告 浮动广告 浏览器的兼容性 IE6的绝对定位 重播广告 浮动广告 浏览器的兼容性 IE6的绝对定位
凤凰网首页幻灯JS代码
11-19
凤凰网首页幻灯JS代码,带左右前头,栏目头
html制作凤凰网,有哪些不用编写代码就能轻松制作生成HTML5页面的工具
weixin_32508109的博客
07-01 498
个人认为现在市面上不用编写代码就能轻松制作生成 h5 页面的工具都是一些噱头,其大致都是套用现成的模板,替换里面的文字或者图片,作为一个开发者使用类似网站这些功能根本不能真正意义上达到自己想要的效果,目前这类工具以邀请函、生日卡、企业宣传等为主,以下是一些我了解到的网站仅做参考1、战鼓这个网站部分免费 没有登录时候可以进入制作页面 但是具体使用还是要登录后使用 页面可自由操作的比较多 但是大多都...
rsync未授权访问漏洞
Kevin's Blog
08-06 3366
文章目录一、漏洞介绍二、漏洞环境三、漏洞利用3.1 漏洞探测3.2 漏洞利用(下载任意文件)3.3 漏洞利用(提权、反弹shell)四、修复建议 一、漏洞介绍 二、漏洞环境 三、漏洞利用 3.1 漏洞探测 》》nmap扫描对方是否存在rsync服务,默认端口873,可能更改成了其它端口 》》列出目标服务器目录:(两个方法皆可) 》》查看目录中的文件,如能查看说明存在未授权访问漏洞 或者 rsync rsync://<ip>:<port>/src 3.2 漏洞利用(下载任意文件
敏感信息泄露总结_rabbitmq漏洞
2301_82056337的博客
04-27 1828
trace 提供基本的HTTP请求跟踪信息(时间戳、HTTP头等)获取用户认证字段信息,,比如如下站点存在 actuator 配置不当漏洞,在其 trace 路径下,除了记录有基本的 HTTP 请求信息(时间戳、HTTP 头等),还有用户 token、cookie 字段。/health 报告应用程序的健康指标,这些值由HealthIndicator的实现类提供,git项目地址泄露,可获取git项目的地址。/info 获取应用程序的定制信息,这些信息由info打头的属性提供。直接获取api接口的。
rsync未授权访问漏洞利用
weixin_47493074的博客
10-05 786
rsync未授权访问漏洞利用
应用协议漏洞-Rsync+协议+漏洞批扫
xiaoheizi的博客
07-12 670
msfconsole是一个强大的接口程序。rsync rsync://123.58.224.8:20700/src/etc/crontab /root/cc.txt 查看crontab中的内容,发现有一个每17分钟执行一次/etc/cron.hourly文件的定时任务。命令:rsync -av shell rsync://123.58.224.8:22700/src/etc/cron.hourly。漏洞存在,可以读取文件:rsync rsync://123.58.224.8:58725/src/tmp/
网络中未授权访问漏洞Rsync,PhpInfo)
weixin_45840241的博客
07-03 1011
Rsync未授权访问漏洞是指Rsync服务配置不当或存在漏洞,导致攻击者可以未经授权访问和操作Rsync服务。Rsync是一个用于文件同步和传输的开源工具,通常在Unix/Linux系统上使用。当Rsync服务未经正确配置时,攻击者可以利用该漏洞获取敏感文件、执行恶意操作,甚至对系统进行破坏。这种漏洞通常出现在以下情况下。
linux rsync 漏洞修复,Rsync未授权访问漏洞
weixin_39889337的博客
05-16 463
应用简介rsync是Linux/Unix下的一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件和目录,默认运行在873端口漏洞简介由于配置不当,导致任何人可未授权访问rsync,上传本地文件,下载服务器文件,rsync未授权访问带来的危害主要有两个:一是造成了严重的信息泄露;二是上传脚本后门文件,远程命令执行测试环境attacker:kali linuxvictim:vulhub里...
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2165
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 237
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
入门网络安全工程师要学习哪些内容
白帽子佳奇的博客
10-10 568
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
网络安全(黑客)自学
最新发布
白帽子凯哥聊黑客
10-10 673
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
什么是网络安全
m0_66268916的博客
10-07 467
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络安全涉及多个层面,包括硬件、软件及其系统中数据的保护和确保网络系统的连续可靠运行,防止数据被破坏、更改、泄露
875/rsync常用的漏洞利用方法
05-27
2. Rsync信息泄露:黑客可以通过Rsync协议获取目标服务器的敏感信息,例如共享文件、用户信息等。这些信息可以帮助黑客更好地了解目标服务器的安全状况,从而进行更有效的攻击。 3. Rsync缓冲区溢出攻击:黑客可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值