最近學習到的一個安全漏洞薪鹦,就是mysql服務是可以獲取客戶端任意文件的扳肛,所以孙援,如果mysql的服務機器可配置的話,就可能獲取可配置平臺的任何文件信息熊镣,比如機器的etc下password 文件卑雁。
還有平臺如果可配 FTP的一些服務機器,并配有賬號密碼時绪囱,如果修改服務機器测蹲,不清空密碼的話,就有可能獲取到服務機器的一些賬號密碼鬼吵。這需要搭建攻擊服務器扣甲,請求發(fā)送到攻擊服務器,就獲取了對應的賬號密碼齿椅×鹜冢可以用python需要去編寫怎么搭建一個sftp服務,https服務涣脚,mysql的服務示辈。這些都可以學一學。學會了這些相當于可以真正的做滲透測試了遣蚀。安全大欧椋可以靠邊了。
