如題,在執行滲透測試的時候發現了部分環境的漏洞需要修補,基本上是因為軟體版本太低所以需要公升級,記錄相關公升級的流程和資料如下:
歷史環境為ubuntu16.04,nginx1.12,openssh5.7。
1、nginx版本要求1.16以上
#解除安裝nginx
sudo apt-get --purge remove nginx
sudo wget
sudo apt-key add nginx_signing.key
#在源列表中新增,其中xenial為對應系統版本固定的codename
sudo vi /etc/apt/sources.list
deb xenial nginx
deb-src xenial nginx
#更新軟體並安裝
sudo apt-get update
sudo apt-get install nginx
#檢查版本
nginx -v
#新增telnet使用者並登陸,預設root不允許直接遠端登陸
apt-get install openbsd-inetd telnetd telnet
/etc/init.d/openbsd-inetd restart # 啟動服務
netstat -anpt|grep 23 # 檢視telnet服務的預設埠是否啟動
telnet ip
adduser zhang
adduser zhang sudo
sudo apt-get install libpam0g-dev
wget
tar xf openssh-7.9p1.tar.gz
cd openssh-7.9p1
./configure --prefix=/usr --sysconfdir=/etc/ssh --with-md5-passwords --with-pam --with-zlib --with-privsep-path=/var/lib/sshd
make && make install
#檢視版本並重啟服務
ssh -v
sudo systemctl restart ssh
service sshd restart
sudo apt-get purge --auto-remove redis-server
以上為配合滲透測試的環境問題執行的漏洞修補方法,記錄以備用;
滲透測試之解析漏洞
現在對上傳的檔案校驗越來越嚴格了,所以導致webshell難以上傳,而後面解析漏洞的出現在配合檔案上傳,可以成功上傳webshell。危害程度很高 現在整理一些網上公布的解析漏洞。不過都是很老的版本,所以前期資訊收集很重要,要是遇到這些版本就可以用上了。1.iis5.x iis6.0版本 1.1 目...
滲透測試之漏洞驗證篇
msf 是乙個滲透測試利用框架,在這個框架中整合了很多漏洞檢測和利用的指令碼工具,可以讓我們直接利用,省去了在網路中查詢指令碼的時間。msf 資料庫為 postgresql,在使用時要保證其是開啟的 確定使用的指令碼工具,可以通過search來搜尋 使用對應的指令碼,use 搜尋序號 或use 指令...
滲透測試 漏洞掃瞄
nessus nessus 是系統漏洞掃瞄與分析軟體,非常強大。然後安裝。openvas是開放式漏洞評估系統,也可以說它是乙個包含著相關工具的網路掃瞄器。其核心部件是乙個伺服器,包括一套網路漏洞測試程式,可以檢測遠端系統和應用程式中的安全問題。openvas是乙個客戶端 伺服器架構,它由幾個元件組成...