网站服务器其实就是一台大型的电脑主机,我们也可以将自己家的电脑主机去做成一台用于存放网站的网站小型服务器供别人访问。那么如何用自己的电脑去做网站服务器呢?由于我们公司目前是内网,由于外网访问的需求,公司又不想出钱买云服务器,我试着从网上看着学习了一下,而且成功了,中间走了不少坑,这个文章能帮大家少走弯路,希望能够帮助大家。
使用 TKE 的内部和外部客户,经常会遇到因 CLB 回环问题导致服务访问不通或访问 Ingress 几秒延时的现象,本文就此问题介绍下相关背景、原因以及一些思考与建议。
作为我这样的新手,看网上的渗透社工教程,看的我热血沸腾,但是我怎么找那种脆弱网站练手啊,现在网站一个比一个保护强,什么弱口令,什么注入到哪里去找啊?菜鸟们是否有同感啊。 今天给大家带来练手的真实环境,没有看门狗,并且漏洞很多,并且可能有意外收获啊。 好了不卖官司了,进入我们今天的主角,花生壳,有人说花生不就是一个映射吗?何我们web练手基地有什么关系? 现在我简单的讲解一下内网穿透原理: 内网就是局域网,网吧,校园网,单位办公网都属于此类。 内网接入方式:上网的计算机得到的ip地址是Inetnet上的保留地
我也来水一水文章,讲讲我在用腾讯云的centos7镜像部署的服务器上能痛快的执行“fuck”命令之前到底经历了多少“磨难”,也算是给自己和别人一个参考吧
我在其中发现了多个内部域名,最后通过 这些内部域名,结合接下来要讲的方法, 成功发现了多个漏洞。
小型企业,一般就在路由器和防火墙之间二选一,不太会同时上两个设备,在他们眼里,防火墙和路由器都一样,无非就是用来上网,这么认为其实也的确无可厚非,因为现在的产品,边界越来越模糊,小型网络里面,用户要求不高,貌似选哪个都差不多。
大家好,这里是 渗透攻击红队 的第 67 篇文章,本公众号会记录一些红队攻击的案例,不定时更新
在K8S内部署微服务后,发现部分微服务链接超时,Connection Time Out。
一台没有发布任何服务到公网的服务器,却有大量的账户登录失败记录,咋一看实在有点让人费解。我们需要做的就是,从繁杂的现象中,拔丝抽茧找到有价值的信息,进一步定位攻击来源,从根源上解决攻击问题。
本文介绍了如何在Windows 10系统上,通过使用Text generation web UI和cpolar内网穿透工具,搭建和远程访问自建类ChatGPT服务。文章详细介绍了安装Text generation web UI和语言模型、安装cpolar内网穿透工具、创建公网地址和固定公网地址的步骤,帮助读者快速搭建并远程访问自定义的大型语言模型。
22.在现有的192.168.1.114上尝试对10.0.0.8进行pth(administrator权限)横向成功,当然也可以用impacket工具包里的psexec:
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是笔者比较喜欢的一个漏洞,因为它见证了攻防两端的对抗过程。本篇文章详细介绍了SSRF的原理,在不同语言中的危害及利用方式,常见的绕过手段,新的攻击手法以及修复方案。
AList 是一个支持多种存储,支持网页浏览和 WebDAV的文件列表程序,可以实现多种网盘挂载为硬盘,并可以挂载不限量的网络资源。或者说是一个网盘聚合器,可以将你的网盘挂载到一起,方便统一管理,简单的说 通过本地浏览器管理多种网盘的程序,重点是免费!
经过长时间的风险发掘与分析,企业面临的安全风险已逐渐清晰并有了比较全面的视野。从投入与产出比的角度出发,结合当前正在承受的危害和实施难易程度考虑,可以将前期所规划的安全项目排入实施计划周期并进行推动。
本篇文章介绍如何在Windows本地使用Docker部署Alist全平台网盘神器,然后结合cpolar内网穿透实现随时随地公网访问本地网盘。
开源项目下载地址→https://github.com/fatedier/frp/releases frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp, http, https 协议。
上一篇文章讲到:两台 Exchange Server 2016 邮件服务器配置了DAG(高可用集群)和NLB(网络负载平衡),今天来讲一下:(1)NLB需要做的交换机的配置;(3)防火墙策略的配置;(3)外网域名解析及检测确认;(4)运营商IP反向解析的检测。
最近遇到了很多在tke集群部署服务出现拉取镜像失败的问题,很多人碰到这个问题不知道该怎么解决,下面我们来讲讲在tke上如何配置拉取不同镜像仓库的镜像。
2020-01-03 – 修复了12月31日由于 dnspod API 改动导致的失效。
在kerberos协议中,Client去访问Server,需要知道是否具有访问权限。所以微软在KRB_AS_REP中的TGT中增加了Client的PAC(特权属性证书),也就是Client的权限,包括Client的User的SID、Group的SID。ms14-068 漏洞就是 经过身份验证的Client在TGT中伪造高权限的PAC。该漏洞允许任何一个域普通用户,将自己提升至域管理员权限。
最近我们内网的 k8s 集群做了一次升级,发现经过 APISIX 网关服务都 503 异常了,于是做了一次分析。我们在内网和线上都采用了 APISIX 来做流量网关,对 APISIX 也贡献了 6 个 PR,所以对它的源码还算比较了解。下面排查过程比较曲折,情感上多次起伏,各位看官耐心看完。
最近经常遇到内部客户、外部客户使用Kibana内网访问ES集群的时候出现各种问题,因为涉及的流程比较多,今天特花点时间梳理一下这部分内容。
一般我们在部署服务的时候会遇到一些镜像拉取失败的问题,这里简单讲述下如何定位解决这类镜像拉取失败的问题,大致的定位思路如下
之前我们介绍了通过FRP的方式来访问内网服务,今天要来介绍这个DDNS技术。 在github上的有一个开源项目听说非常好用,今天我们就从头开始安装体验
内网穿透是指通过一种技术让外部网络可以访问到内网的NAS设备,这样即使在不同网络环境下,也能够远程访问和管理NAS设备。以下是一些常见的内网穿透方案:
获取支付宝支付Java SDK,maven项目可以选择maven版本,普通java项目可以在GitHub下载,这里以maven为例
Windows下我用的PowerShell 7.1.3,首先需要登录cloudflare账户,会自动打开默认浏览器登录。不建议用随机分配的域名,每次重启软件都会再次随机域名。
靶机是红日团队开源的一个靶机,靠着这个环境学习到了很多啊哈哈哈!现在自己也是会搭建一些环境了!也是靠着这个靶机从0开始学内网,了解内网渗透,虽然很菜很菜很菜!靶机下载地址如下:
此工具是由团队SRC组f0ng(f神)开发的一款针对log4j漏洞CVE-2021-44228的BurpSuite扫描插件。其个人微信公众号only security,会经常更新自写的工具。
之前博客分享过,但是没汇总到公众号,这里在发布下,虽然早期写的实战文章,有些技术、设备、配置代码现在更新了,但是对于常见的组网思路构建还是很有帮助的,希望对大家有帮助。(觉得有帮助可以点点赞、转发下)
人生不息~折腾不止,最近闲鱼入手了一台蜗牛星际装黑群晖作为Nas使用。但是这玩意只能内网访问有啥意思,遂折腾,有了此篇文章
之前反复跟大家强调过,想要让自己简历上的项目经历显得更真实,最好是把项目上线并且提供地址给招聘方访问。
frp 是一个可用于内网穿透的高性能的反向代理应用,支持 tcp, udp 协议,为 http 和 https 应用协议提供了额外的能力,且尝试性支持了点对点穿透。GitHub地址
5月12日晚间,全球近100个国家的微软系统计算机同时遭到名为WannaCry(想哭吗)或Wanna Decryptor(想解锁吗)的电脑病毒袭击。想要被感染病毒的计算机解除锁定,只能向对方支付所要求的比特币,否则硬盘将被彻底清空。
Dubbo框架的文章还会持续更新,不过还需要深入研究下,这次放打卡的文章,历史打卡下拉到末端可看
你是AMD Yes党?还是intel和NVIDIA的忠实簇拥呢?最新一届#装机大师赛#开始啦!本次装机阵营赛分为3A红组、intel NVIDIA蓝绿组、混搭组还有ITX组,实体or虚拟装机都能参与,可使用值得买定制化DIY装机工具在文中展现配置单!每个小组均有精美礼品,优秀文章还可角逐装机大师终极大奖,点击参与<<<
此文力求比较详细的解释DNS可视化所能带来的场景意义,无论是运维、还是DNS安全。建议仔细看完下图之后的大篇文字段落,希望能引发您的一些思考。
在内网渗透测试中,我们可以欺骗攻击网络配置和服务。这种攻击方式主要针对ARP(地址解析协议)、DHCP(动态主机配置协议)和DNS服务器配置不当造成的安全隐患。还有一种比较常见的攻击方式就是中间人攻击,他能够使我们通过监控网络流量获取敏感信息。我们可以对网络设备采取安全措施来预防攻击。但是,由于一些协议固有的弱点来进行攻击,本文就是利用LLMNR NetBIOS和WPAD机制来进行中间人攻击。
DNS隧道(DNS Tunneling)也是隐蔽隧道的一种方式,通过将其他协议封装在DNS协议中传输建立通信。大部分防火墙和入侵检测设备很少会过滤DNS流量,这就给DNS隧道提供了条件,可以利用它实现诸如远程控制、文件传输的操作。使用dns搭建隧道的工具也有很多,比如dnscat2、DNS2tcp、iodine等。由于iodine工具使用比较稳定,这里使用iodine进行演示,它可以通过一台dns服务器制作一个Ipv4通道,iodine分为客户端和服务端,Iodine不仅有强制密码措施,还支持多种DNS记录类型,而且支持16个并发连接,因此很多时候Iodine是DNS隧道的第一选择。
本文我想和大家聊聊 Frp 在 OpenWrt 系统中的应用。我在家里的open wrt上部署了很多服务和脚本,但是由于ipv4地址资源紧张,家庭宽带获取ipv4公网地址难度大、代价高,我的家宽也没有公网ip,只能在家庭局域网中访问这些服务,这里我们就需要使用内网穿透工具让这些服务在外网也可以访问到,目前的内网穿透应用中有两个比较常用,一个是Frp,另一个是Ngrok,OpenWrt系统对这两个应用的支持都不错,这次我们选择使用Frp搭建。
现象:用户读信时,根据路径的哈希结果,访问四台服务器中一台请求文件,这四台缓存机器已经下线,访问不到再去后端存储访问浪费了时间
pip install 走公网到files.pythonhosted.org 跨境质量差,用内网源没问题
但其中最直接和原因是其域名遭到DNS污染,导致我们无法连接使用GitHub正确的加速服务。
对于大多数程序员来说,网站一经开发测试后,我们需要在对网站进行上线测试,但是没有自己的服务器,没有自己的域名,没有公网 IP,这个就成了一个难题。而今天白鹿就带给大家一个小教程,我们采用内网击穿的方式,使用第三方平台的后台和穿透工具,通过设置回调地址实现在全世界任意地方来访问我们本地的网站。
中间踩了不少坑,趟雷的过程很有共性,供大家参考,本文重点说zerotier实现内网穿透。
在之前的文章中,我们向大家演示了如何使用cpolar,创建一条固定的、能够在公共互联网登录内网群晖NAS的数据隧道。这条隧道已经能够应对大多数情况。不过我们能看到,在公网登录内网群晖NAS时,使用的协议为http,而cpolar又支持自定义域名,那么我们完全可以更进一步,使用类似网址的域名,甚至为其加上现在流行的安全协议(https),让我们的数据更为安全。现在,就让我们开始探索吧。
这次渗透是从站库分离的情况下在深入进去内网在拿下域控服务器,也都是普通的渗透思路,并没有什么技术含量!首先WEB点是一个MSSQL注入漏洞,并且这个注入是sa权限的!首先这个站点是使用JoomlaCMS搭建的,但是在一处Study信息登记处发现了SQL注入漏洞
翻译: 提供需要翻译的文字 -> 翻译软件 -> 返回翻译后的数据 A 控制 B 去访问 C 网页翻译原理: 方案A: 1.请求目标站点 2.获取浏览器上面的目标站点数据 3.翻译软件把数据返回 方案B: 1.提供目标网址给翻译网站 2.翻译网站代访问,得到目标网站数据 3.翻译网站返回翻译后的数据
领取专属 10元无门槛券
手把手带您无忧上云