2020年5月3日，騰訊安全威脅情報中心監測到近日國外某安全團隊披露了SaltStack存在認證繞過致命令執行漏洞以及目錄遍歷漏洞。 漏洞描述 SaltStack是基於Python開發的一套C/S架構配置管理工具，是一個服務器基礎架構集中化管理平台，具備配置管理、遠程執行、監控 ...

0x00 概述 SaltStack是基於Python開發的一套C/S架構配置管理工具，是一個服務器基礎架構集中化管理平台，具備配置管理、遠程執行、監控等功能。 前段時間，國外某安全團隊披露了SaltStack存在認證繞過漏洞（CVE-2020-11651）和目錄遍歷漏洞 ...

saltstack 官方提供了修復2019.2低版本修復patch鏈接: https://www.saltstack.com/lp/request-patch-april-2020/ 不敢獨享,共享出來.我只是一個搬運工! ...

0x01 簡介 SaltStack 是基於 Python 開發的一套C/S架構配置管理工具。 0x02 漏洞概述 在 CVE-2020-11651 認證繞過漏洞中，攻擊者通過構造惡意請求，可以繞過 Salt Master 的驗證邏輯，調用相關未授權函數功能，從而可以造成遠程命令執行漏洞 ...

SaltStack介紹 SaltStack是一款Python開發的開源配置管理工具； 可用來發現、監控、響應、協調、自動化管理本地、混合、雲和IOT資產; 其最主要的差異是主從模式，分為master和minions(slave)； 經過配置之后master可以管理成千上萬個minions ...

挖礦木馬簡介 隨着區塊鏈的火爆，各種虛擬貨幣的行情一路走高，不乏有人像炒房炒股一樣，通過包括大名鼎鼎的比特幣在內的各種虛擬貨幣發家致富，讓人眼饞。在這種情況下，黑客怎么會放過這么賺錢的機會呢。大家都知道，獲取虛擬貨幣除了買賣還有就挖礦，挖礦其實是通過計算機做一些復雜的運算去算出還沒有歸屬 ...

漏洞介紹 近日，Oracle WebLogic Server 遠程代碼執行漏洞 （CVE-2020-14882）POC 被公開，未經身份驗證的遠程攻擊者可通過構造特殊的 HTTP GET 請求，結合 CVE-2020-14883 漏洞進行利用，利用此漏洞可在未經身份驗證的情況下 ...

Weblogic是Oracle公司推出的J2EE應用服務器，CVE-2020-14882允許未授權的用戶繞過管理控制台的權限驗證訪問后台，CVE-2020-14883允許后台任意用戶通過HTTP協議執行任意命令。使用這兩個漏洞組成的利用鏈，可通過一個GET請求在遠程Weblogic服務器上以未授權 ...