【思考笔记】对哪吒监控探针的安全性思考与利用

哪吒监控探针安全性思考与利用

最新推荐文章于 2025-05-06 11:42:17 发布

原创

最新推荐文章于 2025-05-06 11:42:17 发布 · 1.2k 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全

# 原文引用

https://get-shell.com/6396.html

# 引言

站长最近在把哪吒监控探针从V0升级到V1，全新的版本确实有许多惊喜的变动，例如：全新的面板主题、Agent的启动配置、登录方式变动等。配置了一天后，站长发现发现新版哪吒监控探针是存在一定安全性风险的，而且一旦被利用几乎全部沦陷。

站长即兴把哪吒监控探针做成了靶机（图1-1），朋友可以前往 极核靶场 -> 漏洞靶场练习 -> 哪吒监控 体验一下，看看是否很容易就可以拿到主机权限？

图片[1] - 【思考笔记】对哪吒监控探针的安全性思考与利用 - 极核GetShell

图1-1

# 变动与风险

关于登录

哪吒监控V0版本

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

糸北

关注关注

14
点赞
踩
14

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例

杨秀璋的专栏

07-31

11万+

小迪学习笔记（内网安全）（常见概念和信息收集）

weixin_63560942的博客

03-25

3421

本文主要讲解内网常见名词概念和信息收集的方式方法，为接下来的内网渗透做前提准备，一个好的信息收集可以让渗透事半功倍。

参与评论您还未登录，请先登录后发表或查看评论

开源、轻量、易用的服务器实时监控工具：哪吒探针

zc_mk的博客

04-30

4862

哪吒探针是一个开源、轻量、易用的服务器监控、运维工具，它有以下几个特点：一键安装：可以一键安装面板与 Agent，并且支持 Linux、Windows、MacOS、OpenWRT 以及群晖等主流系统实时监控：支持同时监控多个服务器的实时状态、网络延迟功能丰富：支持 WebSSH、DDNS、流量监控，并且可以支持定时任务以及告警通知

哪吒监控：开源、轻量、易用的服务器监控、运维工具（内附主题美化代码）

m0_59328104的博客

03-07

4341

哪吒监控是一款开源、轻量、易用的服务器监控、运维工具，为用户提供了一系列强大的功能和便捷的操作方式。一键安装：支持一键脚本安装面板和监控服务，适用于Linux、Windows、MacOS、OpenWRT等主流系统，让您轻松上手。实时监控：能够同时监控多个服务器的系统状态，包括监控网页、端口、SSL证书状态等，还支持故障、流量等状态报警，并提供多种通知方式（如Telegram、邮件、微信等），确保您第一时间获知服务器状态。

哪吒探针监控部署配置详细教程

最新发布

weixin_43748495的博客

05-06

1797

哪吒探针监控部署配置详细教程

哪吒探针：面板设置三网监控

点滴记忆

07-24

3339

哪吒监控服务最近升级到了0.16.1版本，增加了网络选项，可以直接显示三网延迟。设置也是很简单。登陆哪吒后台，选择服务新增监控监控三网IP 按图上所示填写即可。如果选择TCP，记得填入端口80。三网监控效果全国三网IP地址河北联通移动电信 61.182.138.156 111.62.229.100 27.185.242.215 山西 ...

OpenWRT 安装哪吒监控

追殇 | Blog

04-28

2145

在 https://github.com/naiba/nezha/releases 下载对应架构的 `zip` 包，软路由通常是 `nezha-agent_linux_arm64.zip` 解压后把二进制文件放入`/root` 运行 `chmod +x /root/nezha-agent` 赋予执行权限，然后创建 `/etc/init.d/nezha-service`：

小迪安全学习笔记-- 第42天：漏洞发现-操作系统之漏洞探针类型利用修复

zr1213159840的博客

02-18

2206

探针一般分为工具，软件，人工。操作系统测试比较复杂，一般通过工具进行测试。推荐使用nessus 相关名词解释 cvss,cvE,Exp ,poc等 exp:利用poc:验证 https://blog.csdn.net/qq_38055050/article/details/80214684 漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD_aletero的专栏-CSDN博客_漏洞编号演示案例 Goby , Nmap,Nessus Goby忍者系统测试 Nmap --sc.

商用密码应用与安全性评估要点笔记（FAQ）

ryanzzzzz的博客

03-11

7856

（1）网络和通信层面：主要包括部署在网络边界的VPN中的访问控制列表、防火墙的访问控制列表、边界路由的访问控制列表等进行网络边界访问控制的信息。云平台系统的密码应用：（1）云平台系统为满足自身安全需求所采用的密码技术（2）云租户通过调用云平台提供的密码服务为自身业务应用提供密码保障。（仅用在云上应用而不用在云平台，或者服务于云平台和云上应用的不同测评对象，因此无法在云平台测评时进行完全评估只能部分评估）。在云应用/平台测评中，将密码资源池的密码管理平台作为应用和数据安全层面的一个管理类应用系统进行测评。

哪吒探针 - Windows 和Linux端agent安装（详细注意版）

运维密码

04-11

6932

一、Windows端agent安装配置环境准备环境: Windows 服务器软件:哪吒探针点击下载、nssm 点击下载(探针agent和nssm都要下载准备好) 设置环境变量下载软件后，解压到任意位置，然后按 win+R 打开运行窗口，输入 sysdm.cpl 打开系统属性–>高级–>环境变量–>系统变量–>Path在最后把刚才的 nssm 目录加...

哪吒监控：轻量级服务器与网站监控及运维工具

gitblog_00302的博客

08-08

645

哪吒监控：轻量级服务器与网站监控及运维工具 nezha:trollface: Self-hosted, lightweight server and website monitoring and O&M tool项目地址:https://gitcode.com/gh_mirrors/ne/nezha 项目介绍哪吒监控（Nezha Monitoring）是一款自托管、轻量级的服务器和网站监控及...

哪吒监控：轻量级自托管服务器与网站监控工具

gitblog_00342的博客

08-08

786

哪吒监控：轻量级自托管服务器与网站监控工具 nezha:trollface: Self-hosted, lightweight server and website monitoring and O&M tool项目地址:https://gitcode.com/gh_mirrors/ne/nezha 项目介绍哪吒监控（Nezha Monitoring）是一款自托管、轻量级的服务器和网站监控及...

搭建哪吒监控面板

qq_39788788的博客

04-14

5371

搭建哪吒面板，实时监控服务器

服务器宝塔安装哪吒监控

weixin_42763067的博客

10-31

2087

重点：应用回调地址记得在域名后面加 /oauth2/callback 后缀，比如：然后点击创建应用就行了，然后保存一下Client ID ，Client Secret，一会配置需要用到这里有个坑，就是用户名，我一直以为是页面显示的用户名，还试了邮箱地址不行点击你的头像 – 个人主页，看上面的url地址gitee.com 后面的就是你的用户名了面板就搭建好了，访问地址：nezha.aaaa.com 就能看到页面了在后台管理中点击 “服务器” --> “新增服务器”

哪吒监控面板搭建教程

qq_41240287的博客

04-09

5016

一、域名解析需要的操作开始之前，请先确定你搭建探针的域名强烈建议用两个(子)域名做解析第一个是面板的域名，套CDN比较方便第二个仅仅解析到面板服务器的域名，用于客户端连接服务端试用(这个可以没有，但是不建议，如果直接用IP的话，迁移面板后会非常麻烦！) 比如我的tz.haoduck.com作为面板的域名，还有一个tzzzz.haoduck.com是用来记录面板服务器的IP 暂且将两个域名都解析到部署面板服务器的IP 二、GitHub上需要的操作 2.1 得到GitHub账号ID 如果没

哪吒面板VPS探针搭建教程，便携服务器状态监控

H5游戏搭建

02-21

1869

先申请一个机器人 @Botfather ，然后/newbot ，创建新的机器人（bot）时，会提供的 token（在提示 Use this token to access the HTTP API:后面一行）这里 'bot' 三个字母不可少；登陆面板机后台，添加一个主机，会生成秘钥，然后在被控机上输入代码（其实和安装主控的代码是一样的）选择8，然后第一个输入你刚才不带套的那个域名，端口默认，秘钥就是刚才添加主机时的那个秘钥。其中bot后面的XXX为机器人的token，chat_id为你自己TG的ID。