Ansible源码分析之get_url模块

Ansible源码分析之get_url模块

在之前的command模块中提到过get_url其实是curl和wget命令的替代模块。再看该模块的文档描述:

  • 将文件从HTTP,HTTPS或FTP下载到远程服务器。远程服务器I(必须)可以直接访问远程资源。
  • 默认情况下,如果在目标主机上设置了环境变量C( _proxy),则请求将通过该代理发送。可以通过为此任务设置变量或使用use_proxy选项来覆盖此行为。
  • HTTP重定向可以从HTTP重定向到HTTPS,因此您应确保两种协议的代理环境均正确。
  • 从Ansible 2.4开始,使用C(-check)运行时,它将发出HEAD请求以验证URL,但不会下载整个文件或针对哈希进行验证。
  • 对于Windows目标,请改用 win_get_url 模块。
阅读更多

Linux使用Proxychains实现终端代理

在Linux上搭建代理工具服务端实现代理,网上有大量的教程文章,相信很多人都有试过。但是将代理工具作为linux的客户端代理可能很多人都没太弄明白。恰好最近和朋友在交流时遇到了这个问题。

情况大致:有一台阿里/腾讯云国内的vps,或者自己内网的一台linux主机。想用代理工具作为linux客户端实现者代理加速下载资源的情况。
前提:本文适合已经搭建了代理工具服务端或有现成节点的小伙伴。

阅读更多

Flask之SSTI服务端模版注入漏洞分析

恰好之前面试某安全公司时被问到这个漏洞,当时还没有研究过,现在花时间分析一下。这里我还是用vulhub上的环境来复现。SSTI即服务端模版注入攻击。由于程序员代码编写不当,导致用户输入可以修改服务端模版的执行逻辑,从而造成XSS,任意文件读取,代码执行等一系列问题。

阅读更多

冰蝎v2.0.1-动态二进制加密网站管理客户端源码分析

最近做到一道笔试题是关于冰蝎的,问题是

上传webshell使用冰蝎进行连接时报错,可能的原因有哪些

由于之前挖洞的时间比较少,所以我对webshell管理工具的使用还停留在菜刀和Cknife。所以先在谷歌上看了一些冰蝎的文章。虽然作者在先知平台发过了几篇文章介绍了冰蝎的使用,网上其他的文章则是关于冰蝎流量检测的文章。但是作者并没有在GitHub上公开源码,因为是用java写的,所以我在下载了之后扔到jd-gui里面看源码,还好作者也没有混淆。那么我就趁此机会阅读一下冰蝎的源码,学习作者的思路。

PS:由于我目前大三,能力方面有所欠缺。对冰蝎源码的阅读分析可能与原作者有所出入,本文仅为我对工具源码学习的思路,不足之处还望各位师傅批评指正。

阅读更多

白嫖?妙用Nginx的proxy_buffer实现Pornhub视频反代

一直都没想到去年随手写的Pornhub视频下载插件在谷歌商店这么受大家欢迎,目前已有4w+的用户量了,不时回想起来还是蛮有成就感的一件事呢。不过从P站利用JS混淆视频接口信息可以看出P站对网站的管理上更严格了,最早P站是可以直接被反向代理的,并且视频也能播放,也就是国内也可以通过反代P站观看上面的视频,之后可以反代但视频播放不了,到现在P站通过各种限制连反代都不行了。那么如何绕过这种限制白嫖视频呢?

阅读更多

Ansible源码分析之find模块

ansible的find模块和linux上find命令非常相似,感觉是find命令的Python代码实现。文档的描述也很简单:根据特定条件返回文件列表。多个条件一起进行“与”运算。对于Windows目标,请改用 ansible.windows.win_find 模块,不过实现上是差不多的。直接分析源码,先看用到的一些模块。

阅读更多

Ansible源码分析之kown_hosts模块

kown_hosts大家应该都比较熟悉,其作用如下:
ssh会把你每个访问过计算机的公钥(public key)都记录在~/.ssh/known_hosts。当下次访问相同计算机时,OpenSSH会核对公钥。如果公钥不同,OpenSSH会发出警告, 避免你受到DNS Hijack之类的攻击。

known_hosts 模块可让您从known_hosts文件中添加或删除主机密钥。

Ansible中kown_hosts.py模块的描述
阅读更多