- 博客(2)
- 收藏
- 关注
RSS订阅原创 1Panel v2版本RCE漏洞原理分析
更关键的是,Agent端暴露了大量高权限的WebSocket接口,像进程管理、SSH终端、容器管理等功能接口都包含其中。一旦攻击者绕过证书验证,就可以利用这些高权限接口执行任意系统命令,从而引发远程命令执行(RCE)漏洞,对服务器安全构成极大威胁。Agent端采用`tls.RequireAnyClientCert`的验证方式,这种方式仅要求客户端提供证书,却不验证证书的签发CA(证书颁发机构),且只检查证书的CN字段是否为“panel_client”,完全忽略了对证书签发者的验证。
2025-09-04 16:23:54
127
原创 PoC关于漏洞挖掘
2. 验证漏洞危害,对风险进行评估。## 如何利用PoC进行测试 针对漏洞中提及的漏洞,寻找具有共性的网站或目标进行批量测试。像登录验证、直接修改网站访问id、SQL注入,文件漏洞、网络协议漏洞,以及运行文件和发送网络数据包等操作,都可借助PoC开展。PoC(Proof of Concept,概念验证)是将发现的潜在漏洞从猜测转化为可验证的事实,能够验证漏洞的真实性,明确漏洞影响范围,助力漏洞修复与防御。## 如何获取PoC 可通过漏洞数据库、代码托管平台、安全社区、安全工具、漏洞扫描工具来获取。
2025-09-03 15:38:24
253
为什么使用豆包和其他ai扫描学校的答题卡,都不能正确识别
2025-09-27
软件包ccze没有可安装候选,如何解决?(操作系统kali-linux)
2023-07-27
TA创建的收藏夹 TA关注的收藏夹
TA关注的人