8 caiqiiqi

尚未进行身份认证

暂无相关简介

等级
TA的排名 1k+

CVE of Confluence/Jira/Bitbucket

CVE-2019-15005TheAtlassianTroubleshootingandSupportToolspluginpriortoversion1.17.2allowsanunprivilegedusertoinitiateperiodiclogscansandsendtheresultstoauser-specifiedemail...

2019-11-15 00:34:16

CVE-2019-3395:[Confluence] SSRF via WebDAV endpoint

当时看这个Atlassian官方安全公告的时候,好像大家关注的主要是3396,而忽略了3385。而且到目前为止,除了官方的描述,网上没有关于这个漏洞的更多描述。这个漏洞没有3396那样影响那么广的版本。根据官方描述,它的影响范围是:version<6.6.76.7.0<version<6.8.5(6.8.x的修复版)6.9.0<version&...

2019-11-13 11:45:33

SQL注入的分类

SQL注入可以绕过认证,对数据进行读、改、删。某些情况下可能造成执行命令的效果。作为一种攻击方式,其本质原因在于后端接收了用户输入,并将其拼接到SQL语句中,造成了数据和指令的混淆。将本该是数据的地方注入了额外的指令,实现了攻击的效果。SQL主要可以分为三类:1、带内(In-band)SQLi,也叫经典SQLi顾名思义,带内的意思就是攻击者可以在同一个信道里进行攻击,并且拿到结果。最常见...

2019-11-09 15:45:23

git clone失败

fatal: unable to access 'https://github.com/manailin/pay-web-demo/': gnutls_handshake() failed: The TLS connection was non-properly terminated.参考:https://datawine.github.io/2018/10/23/git-%E6%97%A...

2019-11-08 02:50:31

pip设置代理

偶然听说pygithub库支持retry字段,用于自动重发请求,但是运行的时候抛出了这个异常:发现我的pygithub版本有点旧了:$python3-mpipfreeze|grep-ipygithubPyGithub==1.43.3查看官方github上的最新版本,使用代理安装最新版本:使用以下命令进行安装python3-mpipinstall--upgrade...

2019-11-07 18:34:12

Jira Service Desk背景知识

背景Jira Service Desk是给IT用的。从Jira 7开始,Atlassian将Jira分成了三个独立的产品:Jira Core(商务)Jira Software(软件)Jira Service Desk(给IT用的)。这个Jira Service Desk跟software是并列的,同一台服务器安装了software的,可能安装了Service Desk。简单搜了一下...

2019-11-07 11:39:32

Bitbucket相关

以为某些操作需要bitbucket以root权限启动才能触发,于是以root权限启动,然而重新使用普通账号启动时,出现了这样的错误:The following problem occurred, which prevents Atlassian Bitbucket from starting:SpringMVC dispatcher [springMvc] could not be sta...

2019-10-29 15:05:59

文件读取漏洞的利用

参考:https://xz.aliyun.com/t/6594/var/lib/mlocate/mlocate.db这个文件。可以使用locate mlocate.db admin这个数据库中含有本地所有文件信息。Linux系统自动创建这个数据库,并且每天自动更新一次。可以将mlocate.db中包含admin内容全部输出来。/proc/self/cmdline当前进程的命...

2019-10-25 10:39:07

SSRF漏洞的利用

SSRF的成因看具体的后端实现TCP请求的库:比如curl、php里的file_get_contents、fsockopen、Java里的openStream,HttpClient类,URLConnection等https://drops.org.cn/PENETRATION/SSRF-Gopher-Attack-NoteBook.html发起请求的库不同,决定了可以发起什么样类型的请求。...

2019-10-15 17:16:45

webpack学习笔记

webpack是一个js模块的打包工具:参考:https://tutorialzine.com/2017/04/learn-webpack-in-15-minuteswebpack将所有的文件和资产都视为"模块"webpacktreatsallfilesandassetsasmodules.参考:https://www.sitepoint.com/webpack-be...

2019-10-12 18:27:52

VMWare虚拟机繁忙/无响应导致无法关机

直接找到vmware-vmx进程,kill掉即可。参考:https://blog.csdn.net/qq_34646546/article/details/86561183

2019-10-12 14:49:39

Java Servlet的Filter组件

JavaServlet2.3版本引入了一种新的组件:Filter。Filter动态地转换和使用request和response中的信息。Filters一般来说并不是直接产生response,而是提供一种通用的功能,用于附加到servletorJSP页面中。Filters的一些API这些API都在javax.servlet包下面,包括Filter,FilterChain,Filter...

2019-10-11 17:42:02

Nginx配置

ubuntu使用apt install nginx之后,会开启nginx服务:服务文件:/lib/systemd/system/nginx.servicenginx可执行文件:/usr/sbin/nginxnginx配置文件:/etc/nginx/nginx.confnginx默认开启的site的配置/etc/nginx/sites-enabled/default其指定的默认监听...

2019-10-11 14:38:16

PyCharm配置远程调试

据说需要PyCharmProfessional版:https://download-cf.jetbrains.com/python/pycharm-professional-2019.2.3.dmg参考:https://zhuanlan.zhihu.com/p/38591832如果代码在服务器上,可以downloadfromserver;如果代码在本地,可以uoloadtose...

2019-10-09 17:59:59

PyCharm激活

SSUJFAQGMI-eyJsaWNlbnNlSWQiOiJTU1VKRkFRR01JIiwibGljZW5zZWVOYW1lIjoiWmhpd2VpIEhvbmciLCJhc3NpZ25lZU5hbWUiOiIiLCJhc3NpZ25lZUVtYWlsIjoiIiwibGljZW5zZVJlc3RyaWN0aW9uIjoiRm9yIGVkdWNhdGlvbmFsIHVzZSBvbmx5IiwiY...

2019-10-09 17:49:21

如何在Django项目中使用Mongodb

安装/配置1、安装djongo python3 -m pip install djongo2、在Django项目的settings.py文件中修改:DATABASES = { 'default': { 'ENGINE': 'djongo', 'NAME': 'your-db-name', 'HOST': 'your-db-host'...

2019-10-08 11:18:37

git参数注入

向前一段时间出的Jenkins的gitclient插件的RCE(CVE-2019-10392)就是gitls-remote命令拼接导致的命令执行。然后找了一些git的命令注入的例子:git-ls-remotegitls-remote-h--upload-pack=calc.exeHEAD这个也是git-ls-remote命令的参数注入漏洞:https://snyk.io/...

2019-09-30 17:32:45

CVE-2019-8451: Jira SSRF

开始一直没找到这个接口是在哪里调用的,后来偶然看了一下burp才知道,他的referer是:http://cqq.com:8091/plugins/servlet/gadgets/ifr?container=atlassian&mid=10003&country=US&lang=en&view=default&view-params=%7B%22writa...

2019-09-29 08:59:49

grep的正则

参考:https://www.cyberciti.biz/faq/grep-regular-expressions/使用^ 对待匹配集合取反:比如,第一次匹配是含有0-9数字的,而第二次是匹配不包含0-9的。通配符grep '\<b.t\>' filename表示匹配以b开头,t结尾的,中间还有一个字母的字符串。< 匹配一个单词的开头空字符串;> 匹配一...

2019-09-28 10:24:59

tomcat启动

server.xml位于Tomcat目录的conf文件夹,它允许了用户配置tomcat的各种组件和层级关系,解析时会根据配置文件,创建Server、Service、Engine、Host及Connector对象。Digester是一个xml解析工具类,用于解析xml文件并根据解析结果执行相关操作。参考:http://www.fanyilun.me/2016/10/10/Tomcat%E7...

2019-09-22 12:15:50

查看更多

勋章 我的勋章
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv3
    勤写标兵Lv3
    授予每个自然周发布7篇到8篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。