搜索精彩内容
包含"sock"的全部内容
掌阅iReader某站Python漏洞挖掘
Python作为新一代的web开发语言,不少互联网公司内外网使用其开发站点。Python web周边还存在redis、memcached、mongod、supervisord等等服务,我们结合这些服务的一系列安全问题,将可以做很多...
谈一谈如何在Python开发中拒绝SSRF漏洞
0x01 SSRF漏洞常见防御手法及绕过方法 SSRF是一种常见的Web漏洞,通常存在于需要请求外部内容的逻辑中,比如本地化网络图片、XML解析时的外部实体注入、软件的离线下载等。当攻击者传入一个未经...
利用代理上ipv6网站
今天跟公司的前端师傅学了一招,十分有趣,分享一下。 自从毕业以后,再想上IPV6上的一些PT站就比较困难了。但其实是可以借助一些代理工具来辅助转到IPV6里的,比如shadowsocks。 Shadowsocks是...
Supervisord远程命令执行漏洞(CVE-2017-11610)
前几天Supervisord出现了一个需认证的远程命令执行漏洞(CVE-2017-11610),在对其进行分析以后,将靶场加入了Vulhub豪华套餐: https://github.com/phith0n/vulhub/tree/master/supervisor/CVE...
Pwnhub 第一次线下沙龙竞赛Web题解析
Pwnhub在8月12日举办了第一次线下沙龙,我也出了两道Web相关的题目,其中涉及好几个知识点,这里说一下。 题目《国家保卫者》 国家保卫者是一道MISC题目,题干: Phith0n作为一个国家保卫者,...
python http.server open redirect vulnerability
Github账号被封了以后,Vulhub也无法继续更新了,余下很多时间,默默看了点代码,偶然还能遇上一两个漏洞,甚是有趣。 这个漏洞出现在python核心库http中,发送给官方团队后被告知撞洞了,且官...
谈一谈Linux与suid提权
前几天我在代码审计知识星球里发表了一个介绍nmap利用interactive模式提权的帖子: # 进入nmap的交互模式 nmap --interactive # 执行sh,提权成功 !sh 但具体实施的时候会遇到很多有趣的问题...
宝塔面板phpMyAdmin未授权访问漏洞是个低级错误吗?
本文2020年8月24日发表于代码审计公众号 周日晚,某群里突然发布了一则消息,宝塔面板的phpmyadmin存在未授权访问漏洞的紧急漏洞预警,并给出了一大批存在漏洞的URL: 随便点开其中一个,赫然...
#小飞机#一键脚本python版
系统支持:CentOS 6,7,Debian,Ubuntu内存要求:64M及以上主机要求:纯净系统(安装之前最好rebuild系统一次)脚本语言:pytho第一步:使用Root账号登陆后依次输入以下命令:Debian,Ubuntuwge...
#小飞机#SS-bash多用户流量管理
Shadowsocks流量管理脚本ss-bash目前只支持python版Shadowsocks 目前只支持统计ipv4流量系统要求shadowsocks-python Linux(推荐Debian 7,其它系统未测试)工作原理不同的用户分配不...