墨痕诉清风的博客

Kubernetes 是做什么的？什么是 Docker？什么是容器编排？Kubernetes 一词来自希腊语，意思是“飞行员”或“舵手”。这个名字很贴切，Kubernetes 可以帮助你在波涛汹涌的容器海洋中航行。Kubernetes 是 Google 基于 Borg 开源的容器编排调度引擎，作为 CNCF最重要的组件之一，它的目标不仅仅是一个编排系统，而是提供一个规范，可以让你来描述集群的架构，定义服务的最终状态，Kubernetes 可以帮你将系统自动得达到和维持在这个状态。

应用攻击容器，常规漏洞打进来就是容器容器攻击其它容器，在容器中进行横向渗透容器攻击宿主机，这种属于逃逸主机攻击容器，本机、或其它主机命名空间用于隔离，那么控制组就是用于限额。容器之间是互相隔离的，但却共享OS资源，比如CPU、RAM以及IO。CGroup允许用户设置限制，这样单个容器就不能占用主机的CPU、RAM等资源了。以root身份运行容器不是很安全，root拥有全部的权限，因此很危险，如果以非root身份运行容器那么将处处受限，所以需要一种技术，能选择容器运行所需的root用户权限。

使用自己定义的网段地址。

聚焦在帮助工程师构建应用程序并使其运行的工具上数据库帮助其他应用程序高效地存储和检索数据Database热门项目：PostgresMySQLRedisPostgres：JDBC驱动远程代码执行、弱密码Redis：未授权、主从RCE数据流和消息传递消息传递和数据流传输系统为编排系统进行通信提供了一个中心位置。热门项目：SparkKafkaRabbitMQNatsSpark：管理员后台未授权、命令注入RabbitMQ：弱口令应用程序定义和镜像构建聚集于开发的工具聚集于运维的工具。

MyBatis是一个流行的Java数据库框架，它简化了数据库操作，允许开发人员通过映射文件或注解将Java对象与数据库中的数据进行关联。与其他ORM（如 Hibernate）不同，MyBatis不会自动生成SQL，而是允许开发者手动编写SQL语句，因此能够提供更精细的控制。目前大部分JavaWeb的学习和开发都绕不开学习他原理mybatis框架在解析sql语句时，如果sql中存在${}和${}是存在解析顺序先解析 ${}再解析#{

OpenStack是一个开源的云计算管理平台项目，是属于基础设施即服务（IaaS），是一个云操作系统。Nova（控制 ）提供计算资源，虚拟机、容器等；Glance（镜像 ）Swift（对象存储 ）Cinder（块存储 ）Neutron（网络 ）Heat（编排服务 ）Ceilometer（计量服务,监控,计费 ）Keystone（身份管理 ）API客户端身份验证，多租户授权Horizon提供Web界面Keystone。

私有云和虚拟化是两个相关但不同的概念，但它们有密切的关系，因为私有云是建立在虚拟化技术的基础上的。虚拟化是指将一台物理机分割成多个虚拟机，每个虚拟机有自己独立的操作系统、配置等，彼此之间互不影响。私有云是指某一公司在内部构建的云环境，仅限于该公司内部使用，不向外公开。私有云可以使用虚拟化技术来实现，但它也可以通过其他方式实现，例如容器技术等。

默认情况下如果没有创建RAM用户则是使用阿里云创建的用户生成的Access Key则是拥有所有管理权限的。

同地域下（同⼀账号，且同⼀个 VPC 内）的云资源之间可通过内⽹互通，可以直接使⽤内⽹ IP 访。，拿到帐号密码连接数据库⽅式，从外部连接，如果限制了本地访问，只能获得服务器权限再连接。购买云⼚商的数据库，⽐较稳定可靠，提供了备份恢复、监控、容灾、快速扩容。不同地域之间⽹络完全隔离，不同地域之间的云产品默认不能通过内⽹互通。不管是云数据库还是数据库的攻击⽅式⽆⾮就⼏种，信息泄露、弱密码。第⼆种形式，就是购买云⼚商的服务。VPS上安装数据库，省钱。第⼀种形式传统数据库⽆差别。AccessKey操作。

无服务器（Serverless）不是表示没有服务器，而是表示当您在使用Serverless时，您无需关心底层的资源，也无需登录服务器和优化服务器，只需关注最核心的代码片段，即可跳过复杂的、繁琐的基本工作。Serverless 拥有近乎无限的扩容能力，空闲时，不运行任何资源。代码运行无状态，可以轻易实现快速迭代、极速部署。云函数函数即服务提供了一种直接在云上运行无状态的、短暂的、由事件触发的代码的能力。

Terraform是⼀个⽤于创建和管理云和企业环境中资源的开源基础设施即代码⼯具。它使⽤声明式配置⽂件来描述要部署的资源，并通过调⽤API接⼝来⾃动创建和配置这些资源。⽂件名为 terraform.tfvars 或 terraform.tfvars.json 的⽂件。所有的 .auto.tfvars 或 .auto.tfvars.json ⽂件，以字⺟顺序排序处理。Terraform会使⽤新值覆盖旧值。⽂件名称以 .auto.tfvars 或 .auto.tfvars.json 结尾的⽂件。

然⽽，如果实际应⽤中的开发⼈员没有遵循安全开发原则，⽐如使⽤了错误的永久密钥，或配置了错误的临时凭据权限，那么攻击者可以通过前端获得的凭据访问对象存储服务。但是，在⼀些攻击场景下，例如开发者个⼈电脑被钓⻥攻击或开发者对象存储客户端⼯具配置⽂件被泄露，这些凭据和存储桶信息写在存储服务⼯具配置⽂件中的将会泄露出去，攻击者可以通过分析这些配置⽂件获取凭据，这些凭据往往是⽤户的云平台主 API 密钥，攻击者可以通过这些信息控制对象存储服务，甚⾄在⼀些严重的场景中，攻击者可以控制⽤户的所有云上资产。

安全组（Security Group）是⼀种有状态的包过滤功能的虚拟防⽕墙，它⽤于设置单台或多台云服务器的⽹络访问控制，可以将同⼀地域内具有相同⽹络安全隔离需求的云服务器实例加到同⼀个安全组内，通过安全组的⽹络策略对云服务器的出⼊流量进⾏安全过滤。简单理解，内⽹ IP 提供局域⽹（LAN）服务，云服务器之间互相访问。⼦⽹具有可⽤区属性，您可以在⼀个地域的私有⽹络下创建属于不同可⽤区的⼦⽹，同⼀个私有⽹络下不同⼦⽹默认内⽹互通，您可以在不同可⽤区的⼦⽹中部署资源，实现跨可⽤区容灾。

云计算的开发者能使⽤微软全球数据 中⼼的储存、计算能⼒和⽹络基础服务。云安全中⼼是⼀个实时识别、分析、预警安全威胁的统⼀安全管理系统，通过防勒索、防病毒、防篡改、镜像安全扫描、合规检查等安全能⼒，帮助您实现威胁检测、响应、溯源的⾃动化安全运营闭环，保护云上资产和本地服务器并满⾜监管合规要求。专有⽹络VPC（Virtual Private Cloud）是⽤户基于阿⾥云创建的⾃定义私有⽹络, 不同的专有⽹络之间⼆层逻辑隔离，⽤户可以在⾃⼰创建的专有⽹络内创建和管理云产品实例，⽐如ECS、SLB、RDS等。

复制代码后切记把中文去除。

该日志文件记录有关当前登录的每个用户的信息，因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户，终端tty或时间显示相应的记录。，这是bash终端的命令记录，能够记录1000条最近执行过的命令（具体多少条可以配置），通过这个文件可以分析此前执行的命令来知道知否有入侵者，每一个用户的home目录里都有这么一个文件。

收到请求后，不会去检查文件是否存在，而是看是什么类型的文件，如果是php，直接交给php解释器去执行，php配置cgi.fix_pathinfo，默认值为1，表示开启，0是关闭，正常情况，php解释器会检查123.php是否存在，如果不存则响应404，但是使用cgi.fix_pathinfo配置后，如果123.php不存在，则会检查上一层目录是否存在，以此类推，检查到test.jpg时，发现test.jpg存在，php解释器就会把test.jpg当作php解析执行。

debugger 是 JavaScript 中定义的一个专门用于断点调试的关键字，只要遇到它，JavaScript 的执行便会在此处中断，进入调试模式。有了 debugger 这个关键字，我们就可以非常方便地对 JavaScript 代码进行调试，比如使用 JavaScript Hook 时，我们可以加入 debugger 关键字，使其在关键的位置停下来，以便查找逆向突破口。但有时候 debugger 会被网站开发者利用，使其成为阻挠我们正常调试的手段。

可以发现dlsym函数加载了两次pthread_create，可以认为这两个进程（或某一个进程）是和Frida的检测有关的，于是为了绕过检测，我们可以让它加载一个虚假的pthread_create函数，得到一个空结果绕过检测。成功绕过了libnllvm1717052779924.so的检测，又到了libface_nllvm.so的检测，使用同样的方法去绕过libface_nllvm.so的检测，代码我这里就不上了，大家可以自己修改以下。dlsym()函数的作用是在已经加载的动态链接库中查找指定符号的地址。

这里简单记录一下相关抓包工具证书的安装抓包工具有burpsuite,fiddler,charles等burpsuite适合渗透测试，charles适合开发者分析调试app，fiddler个人认为适合app的逻辑功能的测试（逻辑漏洞挖掘）如果没有任何检测，我们通过wifi代理就可以结合抓包工具抓包了。如果存在系统代理检测，可以尝试使用vpn软件（postern等）绕过，或者使用proxifer抓取模拟器进程在模拟器外部实现流量代理。

web应用是通过使用javaScript、HTML5等web技术来实现交互、导航以及个性化功能的。web应用可以在移动端设备的web浏览器中运行，并通过向后台服务器请求web页面来进行渲染。一个web应用可以有浏览器渲染的版本，也可以有作为独立应用的版本。安卓使用了类似Unix中的文件系统来进行本地数据存储，用到的文件系统有十几种，如FTA32、EXT等。事实上，安卓系统中的一切都是文件。安卓在filesystems这个文件中存储了许多详细的信息，比如内置应用等。

通过该方法可以扫描到大量目标WiFi下员工活跃的终端设备，将这些设备的STATION显示的MAC地址保存下来，替换本机MAC地址为目标单位员工的真实MAC地址，多次绕过内网的网络封堵。因此只需要通过修改Radius服务端，伪造ESSID与目标单位相同的WiFi信号源，当其员工从我方信号源附近经过时，就可以捕获到终端自动发起重连时的数据包，其中包含明文用户名和NetNTLM哈希，实战测试中可知，AMD公司的入门级GPU RX6700xt可以以5000MH/s的速度爆破NetNTLM。

攻防对抗强度和难度日益演进，传统的渗透测试思路成本逐渐提高，钓鱼已经成为当下攻击者最常用攻击手段之一。在某次针对某企业的攻防演练中，攻击队成员伪装成初入社会的求职女大学生，成功骗取目标单位某员工的信任，在攻击者的引导下，多次在企业内网下载和运行木马，为攻击人员制造了大量的攻击机会，最终击穿目标多种网络防护，获得生产网控制权。

SSRF盲注是指应用程序可以被诱导向提供的URL发出后台HTTP请求，但前端响应中不返回后台请求的结果。现在我们知道了SSRF 和 SSRF 盲注之间的区别，那么让我们看看本次的实际案例吧。

这种技巧是关键记录删除，或者我们可以暴力点，比如前150行是用户的正常操作记录，150以后是攻击者操作记录。在Linux中，使用chattr命令来防止root和其他管理用户误删除和修改重要文件及目录，此权限用ls -l是查看不出来的，从而达到隐藏权限的目的。上面的命令会临时禁用历史功能，这意味着在这命令之后你执行的所有操作都不会记录到历史中，然而这个命令之前的所有东西都会原样记录在历史列表中。这种情况下我们怎么办？在shell中执行的命令，不希望被记录在命令行历史中，如何在linux中开启无痕操作模式呢？

这里把后面的字符随便改成点正常的字符，哪里有过滤绕哪里，我是先去跑了一遍标签，还是有很多可以用的，然后就是事件属性，直接去跑一遍，找到一些可以用的事件，最后就是绕过alert(1)了。可以直接fuzz标签事件，不过尖括号就比较麻烦了，很多编码他不会拦截也不会解析，只能再返回前端看一下，这里经过测试发现Unicode编码后不会被拦截并可以被解析成尖括号。然后就是绕waf了，一搬去找到一个可以用的标签，然后看看是否支持伪协议，然后去跑一遍事件属性，fuzz一下哪些可以用。

成功利用该漏洞的攻击者可以实现远程代码执行，控制受影响的服务器，潜在的危害包括数据泄露、系统崩溃，甚至可能被用于传播勒索等恶意软件。需要注意的是，RDL 服务并非默认启用，但许多管理员会手动启用它以扩展功能，例如增加远程桌面会话的数量（默认情况下，Windows 服务器仅允许两个并发会话）。远程攻击者通过发送精心构造的请求的方式利用此漏洞，成功利用将允许攻击者远程代码执行，获得服务器的最高权限。**批量可利用性：**可使用通用 POC/EXP，批量检测/利用。**修复复杂度：**低，官方提供补丁修复方案。

比如以下，只是判断referer的值是否为空，判断是否是www.testdomain.com开头，都是则继续执行，否则就返回首页，只要构造POC：www. testdomain.com.hacker.com。就可以绕过检测，造成CSRF漏洞。知道漏洞的原理，了解漏洞产生的原因，只要在审计的时候，重点关注这些原因，就很容易找到漏洞。攻击者盗用了用户的身份，以用户的名义发起恶意请求，服务器没有对身份进行识别，会认为这请求是用户发起，会根据请求进行响应 ，CSRF漏洞的本质就是通过欺骗用户去访问自己设置的地址。

MyBatis 是一款优秀的持久层框架，它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息，将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起，开发者无需在关注数据库操作，直接操作java对象就可以完成数据库的增删改查等操作。但是在。

攻击者可利用哪些方面来绕过WAFWeb容器的特性Web应用层的问题WAF自身的问题（本次LIVE重点）数据库的一些特性在IIS+ASP的环境中，对于URL请求的参数值中的，如果和后面的字符构成的字符串在URL编码表之外，ASP脚本处理时会将其忽略。现在假设有如下请求：在WAF层，获取到的id参数值为，此时waf因为的分隔，无法检测出关键字 select from等但是因为IIS的特性，id获取的实际参数就变为，从而绕过了waf。

渗透过程中如果能获取到网站的源代码，那么无疑开启了上帝视角。虽然之前出现过不少通过搜索引擎查找同类网站，然后批量扫备份的思路，但是却没人分享其具体过程，这里笔者便整理了自己开发分布式扫描器的目录扫描模块的一些尝试的思路，同时分享一些寻找源码的其他手段，希望能给读者带来一些新的体验。

pyc 文件是 python 在编译过程中出现的主要中间过程文件。pyc 文件是二进制的，类似 java 的字节码，可以由 python 虚拟机直接执行的。这个时候我们一般使用uncompyle6（适用于python3.8)或者Pycdc将pyc文件反编译成py文件。

Oracle类型判断PostgreSQL类型判断（特有的语法）

Snyk 在 Docker 引擎以及其他容器化技术（例如 Kubernetes）使用的 runc <=1.1.11 的所有版本中发现了一个漏洞。利用此问题可能会导致容器逃逸到底层主机操作系统，无论是通过执行恶意映像还是使用恶意 Dockerfile 或上游映像构建映像（即使用时FROM）

通过支持X-Original-URL和X-Rewrite-URL标头，用户可以使用X-Original-URL或X-Rewrite-URL HTTP请求标头覆盖请求URL中的路径，尝试绕过对更高级别的缓存和Web服务器的限制。一般开发者会通过Nginx代理识别访问端IP限制对接口的访问，尝试使用 X-Forwarded-For、X-Forwared-Host等标头绕过Web服务器的限制。Referer 请求头包含了当前请求页面的来源页面的地址，即表示当前页面是通过此来源页面里的链接进入的。

TP-Link Archer AX-21 命令注入安全漏洞1.1.4 Build 20230219 之前的 TP-Link Archer AX21 (AX1800) 固件版本存在漏洞。

JWT 是 “JSONWeb Token” 的简写，也就是通过 JSON 形式作为 Web 应用中的令牌，用于在各方之间安全的将信息作为 JSON 对象传输.在数据传输过程中还可以完成数据加密，签名等相关处理。

ThinkPHP是一款运用极广的PHP开发框架。其版本5中，由于没有正确处理控制器名，导致在网站没有开启强制路由的情况下（即默认情况下）可以执行任意方法，从而导致远程命令执行漏洞。

Docker默认的PHP环境恰好满足上述条件，所以我们可以直接使用下面这个数据包来在写。版本及以前，存在一处本地文件包含漏洞。当多语言特性被开启时，攻击者可以使用。首先，ThinkPHP多语言特性不是默认开启的，所以我们可以尝试包含。waf日志检查发现一处pearcmd本地文件包含探测，复现一下。如果漏洞存在，则服务器会出错，返回500页面。是一个在中国使用较多的PHP框架。虽然只能包含本地PHP文件，但在开启了。PHP环境安装了pcel/pear。参数来包含任意PHP文件。

PHPUnit 是 PHP 程式语言中最常见的单元测试 (unit testing) 框架，通常phpunit使用composer非常流行的PHP依赖管理器进行部署,将会在当前目录创建一个vendor文件夹.phpunit生产环境中仍然安装了它,如果该编写器模块存在于Web可访问目录，则存在远程代码执行漏洞。