2020年7月

rsync未授权访问


简介

rsync是Linux下一款数据备份工具,支持通过rsync协议、ssh协议进行远程文件传输。其中rsync协议默认监听873端口,如果目标开启了rsync服务,并且没有配置ACL或访问密码,我们将可以读写目标服务器文件。
rsync未授权访问带来的危害主要有两个:一是造成了严重的信息泄露;二是上传脚本后门文件,远程命令执行。


Jboss漏洞利用总结


JBOSS简介

JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器。由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行。


对某投票平台一次简单的测试


前言

事情发生在某个阳光明媚的星期五,刚刚坐下打开电脑,以为今天是元气满满(摸鱼)的一天,嘿嘿嘿,打开企业vx,看到了甲方爸爸发了个投票链接,喊我们帮她女儿刷票,emmm 心里一万句xxx飘过,行吧,那就看看有没操作空间了。今天就先兼职一下刷票工程师。