给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
(3)判断服务利用方式-特定漏洞&未授权&弱口令等
三、案例演示
1、K8s
简介:
Kubernetes(简称k8s)是Google开源的一个容器集群管理系统,使用Go语言开发,用于管理云平台中多个主机上的容器化的应用。它支持自动化部署、大规模可伸缩、应用容器化管理。在生产环境中部署一个应用程序时,通常要部署该应用的多个实例以便对应用请求进行负载均衡。在Kubernetes中,我们可以创建多个容器,每个容器里面运行一个应用实例,然后通过内置的负载均衡策略,实现对这一组应用实例的管理、发现、访问,而这些细节都不需要运维人员去进行复杂的手工配置和处理。
这节课不做展示,权限提升再讲。
2、Jetty
简介:
Elipse Jetty 是一个开源的 servlet 容器,它为基于 Java 的 Web 容器提供运行环境。
(1)CVE-2021-28164 不明确路径信息泄露漏洞
简介:
Eclipse Jetty 9.4.37.v20210219 至 9.4.38.v20210224 版本存在安全漏洞,该漏洞源于默认符合性模式允许具有包含%2e或%2e%2e段的URI的请求访问 WEB-INF 目录中受保护的资源,攻击者可以利用例如对 /context/%2e/WEB-INF/web.xml 可以检索 web.xml 文件,可能会显示有关 web 应用程序实现的敏感信息。
影响版本:
Jetty = 9.4.37、9.4.40、9.4.43
打开vulhub的/jetty/CVE-2021-28164/目录,启动docker-compose up -d启动容器,访问页面
访问/WEB-INF/web.xml,返回404 not found,访问/%2e/WEB-INF/web.xml也是如此
打开kali,利用命令1显示web.xml文件信息,也可使用命令2保存到本地
命令1:curl -v ‘http://192.168.190.153:8080/%2e/WEB-INF/web.xml’
命令2:curl ‘http://192.168.190.153:8080/%2e/WEB-INF/web.xml’ -o ./a.txt
(2)CVE-2021-28169 路径限制绕过漏洞
简介:
对于Eclipse Jetty版本<=9.4.
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
