【思考笔记】对哪吒监控探针的安全性思考与利用

于 2025-01-08 13:52:50 发布
阅读量915 收藏 14
点赞数 14
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_21039641/article/details/145007467
版权

# 原文引用

https://get-shell.com/6396.html

# 引言

站长最近在把哪吒监控探针从V0升级到V1,全新的版本确实有许多惊喜的变动,例如:全新的面板主题、Agent的启动配置、登录方式变动等。配置了一天后,站长发现发现新版哪吒监控探针是存在一定安全性风险的,而且一旦被利用几乎全部沦陷。

站长即兴把哪吒监控探针做成了靶机(图1-1),朋友可以前往 极核靶场 -> 漏洞靶场练习 -> 哪吒监控 体验一下,看看是否很容易就可以拿到主机权限?

图片[1] - 【思考笔记】对哪吒监控探针的安全性思考与利用 - 极核GetShell

图1-1

# 变动与风险

关于登录

哪吒监控V0版本是需要Github进行授权登录的,虽然配置的时候麻烦了许多,但是安全性还是可以的。但是V1版本的默认登录方式变为了密码登录,并且默认弱口令 admin / admin。即使大部分有意识的站长都会进行修改密码,但是并不排除 小白 和懒人吧~

监控端(Agent)默认权限过高

站长认为这也是最核心的安全风险,无论是哪吒监控的V0版本还是V1版本

最低0.47元/天 解锁文章
糸北
关注
[网络安全自学篇] 一.入门笔记之看雪Web安全学习及异或解密示例
杨秀璋的专栏
07-31 10万+
最近开始学习网络安全相关知识,接触了好多新术语,感觉自己要学习的东西太多,真是学无止境,也发现了好几个默默无闻写着博客、做着开源的大神。准备好好学习下新知识,并分享些博客博友们一起进步,加油。非常基础的文章,大神请飘过,谢谢各位看官!
大模型应用——文档图像大模型的思考探索
最新发布
01-07 1万+
GPT4-V多模态大模型大幅度提升了AI技术在文档分析识别领域的能力边界,端到端实现了文档的识别到理解的全过程。并且提供了一条研发新范式:“大数据、大算力、多任务、端到端。像篡改检测、文本分割擦除这样像素级的任务,GPT-4V大模型处理的并不好,虽然它在文档解析和识别领域的能力已经具备,但较之于SOTA方法来比较,性能还是有待提升。GPT-4V这样多模态大模型的强项在于信息抽取和理解认知层面,这一特点在经过有效利用后,可以大幅提升该研究领域的天花板。1.机遇挑战。
服务器监控工具哪吒探针 v1 版本上线 全新设计带来新体验
zc_mk的博客
12-05 1457
上周黑五期间,哪吒探针进行了一次颇有争议的 Breaking Change 更新,将面板和 Agent 升级到了 v1 版本,并且原来的 v0.x 版本完全不兼容。同时,将 v0.x 的官方文档进行了移除(仅移除文档页面,文档仓库还在),并且一键安装脚本默认安装 v1 版本的 Agent, v0.x 的 Dashboard 无法正常通信,导致黑五新买的 VPS 都无法连接到哪吒探针的主控端。
【教程】哪吒探针美化教程,打造属于你的独一无二的探针
oocun的博客
10-13 2170
哪吒探针是一个开源、轻量的服务器和网站监控、运维工具。支持一键脚本安装面板和监控服务,轻松使用;Linux、Windows、MacOS、OpenWRT等主流系统均受支持。支持同时监控多个服务器的系统状态,支持监控网页、端口、SSL证书状态;支持故障、流量等状态报警,支持多种通知方式(Telegram、邮件、微信等)。支持在线SSH,支持流量循环监控,支持设置定时任务、服务器批量执行任务。
开源、轻量、易用的服务器实时监控工具:哪吒探针
zc_mk的博客
04-30 4331
哪吒探针是一个开源、轻量、易用的服务器监控、运维工具,它有以下几个特点:一键安装:可以一键安装面板 Agent,并且支持 Linux、Windows、MacOS、OpenWRT 以及群晖等主流系统实时监控:支持同时监控多个服务器的实时状态、网络延迟功能丰富:支持 WebSSH、DDNS、流量监控,并且可以支持定时任务以及告警通知
哪吒监控:开源、轻量、易用的服务器监控、运维工具(内附主题美化代码)
m0_59328104的博客
03-07 3676
哪吒监控是一款开源、轻量、易用的服务器监控、运维工具,为用户提供了一系列强大的功能和便捷的操作方式。一键安装:支持一键脚本安装面板和监控服务,适用于Linux、Windows、MacOS、OpenWRT等主流系统,让您轻松上手。实时监控:能够同时监控多个服务器的系统状态,包括监控网页、端口、SSL证书状态等,还支持故障、流量等状态报警,并提供多种通知方式(如Telegram、邮件、微信等),确保您第一时间获知服务器状态。
哪吒探针:面板设置三网监控
点滴记忆
07-24 2374
哪吒监控服务最近升级到了0.16.1版本,增加了网络选项,可以直接显示三网延迟。设置也是很简单。 登陆哪吒后台,选择服务 新增监控 监控三网IP 按图上所示填写即可。如果选择TCP,记得填入端口80。 三网监控效果 全国三网IP地址 河北 联通 移动 电信 61.182.138.156 111.62.229.100 27.185.242.215 山西 ...
OpenWRT 安装哪吒监控
追殇 | Blog
04-28 1569
在 https://github.com/naiba/nezha/releases 下载对应架构的 `zip` 包,软路由通常是 `nezha-agent_linux_arm64.zip` 解压后把二进制文件放入`/root` 运行 `chmod +x /root/nezha-agent` 赋予执行权限,然后创建 `/etc/init.d/nezha-service`:
哪吒探针 - Windows 和Linux端agent安装(详细注意版)
运维密码
04-11 6500
一、Windows端agent安装配置 环境准备 环境: Windows 服务器 软件:哪吒探针点击下载、nssm 点击下载(探针agent和nssm都要下载准备好) 设置环境变量下载软件后,解压到任意位置,然后按 win+R 打开运行窗口,输入 sysdm.cpl 打开系统属性–>高级–>环境变量–>系统变量–>Path在最后把刚才的 nssm 目录加...
2020小迪安全第十天笔记-(信息收集)资产监控拓展
weixin_51566416的博客
12-08 5377
笔记来源视频: 【小迪安全】web安全|渗透测试|网络安全(6个月线上培训全套)_哔哩哔哩_bilibili​​​​​​ 信息收集-资产监控拓展 目录 信息收集-资产监控拓展 #Github 监控 便于收集整理最新 exp或 poc 便于发现相关测试目标的资产 #各种子域名查询 #DNS,备案,证书 #全球节点请求 cdn #黑暗引擎相关搜索 #微信公众号接口获取 #内部群内部应用内部接(社会工程学) ·黑暗引擎(如fofa.so)实现域名接口等收集 ·全自动域名收集枚...
javaweb项目实(含笔记详细实现步骤)
07-20
JavaWeb项目实(含笔记详细实现步骤) JavaWeb是一种基于Java技术的Web应用程序开发框架,它涵盖了服务器端编程、数据库交互、用户界面设计等多个方面。对于初学者来说,掌握JavaWeb开发是步入Web开发领域的关键...
哪吒监控:轻量级服务器网站监控及运维工具
gitblog_00302的博客
08-08 488
哪吒监控:轻量级服务器网站监控及运维工具 nezha:trollface: Self-hosted, lightweight server and website monitoring and O&M tool项目地址:https://gitcode.com/gh_mirrors/ne/nezha 项目介绍 哪吒监控(Nezha Monitoring) 是一款自托管、轻量级的服务器和网站监控及...
搭建哪吒监控面板
qq_39788788的博客
04-14 4407
搭建哪吒面板,实时监控服务器
服务器宝塔安装哪吒监控
weixin_42763067的博客
10-31 1739
重点:应用回调地址记得在域名后面加 /oauth2/callback 后缀,比如:然后点击创建应用就行了,然后保存一下Client ID ,Client Secret,一会配置需要用到 这里有个坑,就是用户名,我一直以为是页面显示的用户名,还试了邮箱地址不行 点击 你的头像 – 个人主页 ,看上面的url地址gitee.com 后面的就是你的用户名了 面板就搭建好了,访问地址:nezha.aaaa.com 就能看到页面了在后台管理中 点击 “服务器” --> “新增服务器”
哪吒监控面板搭建教程
qq_41240287的博客
04-09 4496
一、域名解析需要的操作 开始之前,请先确定你搭建探针的域名 强烈建议用两个(子)域名做解析 第一个是面板的域名,套CDN比较方便 第二个仅仅解析到面板服务器的域名,用于客户端连接服务端试用(这个可以没有,但是不建议,如果直接用IP的话,迁移面板后会非常麻烦!) 比如我的tz.haoduck.com作为面板的域名,还有一个tzzzz.haoduck.com是用来记录面板服务器的IP 暂且将两个域名都解析到部署面板服务器的IP 二、GitHub上需要的操作 2.1 得到GitHub账号ID 如果没
哪吒面板VPS探针搭建教程,便携服务器状态监控
H5游戏搭建
02-21 1637
先申请一个机器人 @Botfather ,然后/newbot ,创建新的机器人(bot)时,会提供的 token(在提示 Use this token to access the HTTP API:后面一行)这里 'bot' 三个字母不可少;登陆面板机后台,添加一个主机,会生成秘钥,然后在被控机上输入代码(其实和安装主控的代码是一样的)选择8,然后第一个输入你刚才不带套的那个域名,端口默认,秘钥就是刚才添加主机时的那个秘钥。其中bot后面的XXX为机器人的token,chat_id为你自己TG的ID。
Ubuntu下安装并配置哪吒探针监控服务器的神奇利器!
shelby_loo的博客
05-19 512
配置方面,我们有一个核心的CPU,1G的内存,10G的硬盘,以及5M的带宽。哪吒探针是一种性能监控工具,可以帮助我们实时监测服务器的状态和性能指标。它的安装配置非常简单,下面我将详细介绍每个步骤所使用的具体命令和配置文件。通过以上步骤,你可以轻松在Ubuntu上安装并配置哪吒探针。你可以使用浏览器访问探针的地址,在界面上查看服务器的状态和性能指标。在配置文件中,我们可以设置一些参数,比如服务器的名称、监控频率等等。首先,我们要在Ubuntu上安装哪吒探针。安装完成后,我们需要配置哪吒探针
Java性能监控调优实战课程详细笔记
- **持续监控日志分析**:利用监控工具对系统进行持续监控,并结合日志分析技术,实现问题的快速定位和解决。 ### 总结 本篇笔记涵盖了Java性能监控调优的核心知识点,对于希望提高Java应用性能的开发者来说,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值