Zimbra是一个完整的邮件服务器,它提供配置的Postfix与OpenDKIM,Amavis,ClamAV和Nginx,准备处理一个或多个域的邮件。Linode上的Zimbra是您将找到的正常运行的邮件服务器的最快路径之一。本指南将指导您完成Zimbra安装过程。
近期在测试一个目标的时候发现对方好几个zimbra的服务器,按照网上提供的利用方法测试了之后发现利用不成功!接着自己搭建了zimbra在自己进行测试之后成功利用并且拿下zimbra服务器!
原文 http://yanghuawu.blog.51cto.com/2638960/1106390
针对某个目标进行的一次渗透测试!没有什么技术含量,都是简单的测试一些常见的漏洞!开始静下心来学习!
编辑文件smtpd_sender_restrictions 您需要编辑文件opt / zimbra / conf / zmconfigd / smtpd_sender_restrictions.cf并在permit_mynetworks之后添加行reject_sender_login_mismatch
安装前准备 将主机名设置为:mail.cd-hst.com hostnamectl set-hostname mail.cd-hst.com DNS服务器设置: cat /etc/resolv.conf nameserver 192.168.139.215 nameserver 192.168.139.216 yum update -y 安装所需的依赖包和库文件 yum install perl perl-core ntpl nmap sudo libidn gmp libaio libstdc++ un
本文讲述了作者以邮件登录服务为突破口,利用其中的Zimbra应用功能和邮件端口配置bug,可以对目标邮件服务端执行流量转发设置(SSRF),实现对所有登录用户的明文凭据信息窃取。
据Bleeping Computer报道,邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面,通过利用该漏洞,黑客可以在没有身份验证或用户交互的情况下窃取登录信息,这意味着黑客无需账号密码即可登录用户的邮箱。 该漏洞编号为CVE-2022-27924,目前已经被收录至CNNVD,编号为CNNVD-202204-3913,受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起,Zimbra 版本ZCS 9.0.0 的补丁24.1,以及ZCS 8.8.15的补丁31.1
通过Zimbra收取POP3邮件,总是提示错误:Connection reset。
原因:Zimbra默认不允许在使用非加密传输时进行身份认证,需要关闭相关安全设置。
Zimbra是一个公司用的很多的邮件系统,可能涉及到很多公司内部的机密,所以极为重要。
1 无密码情况下抓取虚拟机密码hash 在项目里面,经常会碰到vm的esxi,或者其他虚拟化平台,如云桌面。但是一般服务器都是需要开机密码才能进入桌面的,或者在内网横向的时候,也需要有虚拟机的hash来做碰撞。在这种情境下,我们可以通过kon-boot来在无密码的情况下抓取虚拟机的hash。 https://mp.weixin.qq.com/s/zOqXd8JDvUgF22dDJHsA1w 2 浅谈云上攻防系列——云IAM原理&风险以及最佳实践 深入浅出IAM,游刃有余解决云上安全隐患。 https://m
由于外网centos这台机器找不着密码,试了好多个也都不对,于是这里我们重置一下centos的密码
操作系统:Centos,※,Ubuntu,Redhat※,,suse,Freebsd
备份软件 Amanda -客户端-服务器模型备份工具 Bacula - 另一个客户端-服务器模型备份工具 Backupninja -轻量级,可扩展的元数据备份系统 Backuppc -客户端-服务器模型备份工具和文件共享方案。 Burp -网络备份和还原程序 Duplicity -使用rsync算法加密的带宽-效率备份 Lsyncd -监控一个本地目录树的变化,然后产生一个进程去同步变化。默认使用rsync。 Rsnapshot -文件系统快照工具 SafeKeep -使用rdiff-backup,集中的,
Perun是一款主要适用于乙方安服、渗透测试人员和甲方RedTeam红队人员的网络资产漏洞扫描器/扫描框架,它主要适用于内网环境,加载漏洞检测Vuln模块后能够快速发现安全问题,并根据需要生成报表,以方便安全人员对授权项目完成测试工作。
ln -s /opt/zimbra/java/ /opt/java
ChopChop是一款功能强大的命令行工具,可以帮助广大研究人员针对Web应用程序进行动态应用程序测试。该工具的主要目的是扫描终端节点,并识别暴露的敏感服务、文件和目录。开发人员还可以在配置文件中声明检测项和签名,所有内容均支持配置,配置文件为chopchop.yml。
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
Jetty provides a Web server and javax.servlet container, plus support for HTTP/2, WebSocket, OSGi, JMX, JNDI, JAAS and many other integrations. These components are open source and available for commercial use and distribution.
在近二十年里,世界各地的国家或城市政府不断地高调宣布拥抱开源,想用 Linux 系统取代 Windows,希望能借此减少 IT 开支、降低对特定服务商的依赖,以及巩固自身数字 / 技术主权。
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
近期美国网络安全和基础设施安全局 (CISA) 在其已知利用漏洞目录中增加了两个漏洞。其中一个已经在Windows支持诊断工具(MSDT)中作为零日漏洞了潜在了两年多的时间,并且它具有公开可用的漏洞利用代码。这两个安全问题的严重程度都很高,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。该漏洞编号为CVE-2022-34713,非正式地称为DogWalk,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。 该问题最初是由研究员Imre Rad于2020年1月向微软报告的
使用2011版菜刀访问某个webshell,发现被WAF拦截,,使用2016版可连,想看一下两者的发包特征,搭个IIS、Apache、Nginx、Tomcat环境来看post数据,默认中间件不显示这些数据,有些人可能压根就不会搭,你本意只是想看个发包,还要浪费时间去搭环境?当然也可以使用WireShark等抓包工具,但是又不会用怎么办?没事使用Ladon一条命令就搞定,非常简单。以前教大家用过Ladon的web模块捕获windows密码、获取无回显RCE漏洞命令回显、架设WEB远程下载payload、测试漏洞等,实际上还有很多用途,比如捕获0day、捕获工具payload等
文章的表格中列举了Linux 中的服务、守护进程、和程序所使用的最常见的通信端口,该列表还可以在 /etc/services 文件中找到,更多详细信息推荐查看由互联网号码分派局(IANA)制定的“著名
https://bitnami.com/stack/redmine/installer
各位 FreeBufer 周末好~以下是本周的「FreeBuf周报」,我们总结推荐了本周的热点资讯、优质文章和省心工具,保证大家不错过本周的每一个重点! 热点资讯 1、乌克兰将国家重要数据迁移至北约邻国 2、邮件巨头Zimbra曝严重漏洞,黑客无需密码即可登录 3、思科电子邮件存在安全漏洞,攻击者可利用漏洞登录其Web管理界面 4、加拿大新规 :相关企业遭受黑客网络攻击必须汇报 5、恶意软件竟被上架谷歌商店,下载次数甚至超 200 万次 6、医疗中心遭受勒索软件攻击,影响了 70万人 7、微软将在6月
据国外网站Daily Dot报道,最近披露的政府秘密文件显示,美国民营智库战略预测公司(Strategic Forecasting Inc)在2011年12月遭遇黑客攻击,是因为该公司的网络系统没有采
系统管理员 资源列表,内容包括:备份/克隆软件、云计算/云存储、协作软件、配置管理、日志管理、监控、项目管理 备份 备份软件 Amanda:客户端-服务器模型备份工具。官网 Bacula:另一个客户端-服务器模型备份工具。官网 Backupninja:轻量级,可扩展的元数据备份系统。官网 Backuppc:客户端-服务器模型备份工具和文件共享方案。官网 Burp:网络备份和还原程序。官网 Duplicity:使用rsync算法加密的带宽-效率备份。官网 Lsyncd:监控一个本地目录树的变化,然后产生一个进
专有软件和开源软件之间的对比与IT行业本身一样古老。几乎所有类别的软件都可以从开发和销售代码的供应商处获得,或者从公开代码的开发人员社区里获得。在过去十年中,对使用开放软件的厌恶,特别是在企业领域,已经发生了显著的改变。管理人员意识到,即便是Facebook,谷歌和亚马逊这样的IT巨头也都在依赖开源,一般的企业也应该如此。
IaaS全拼是Infrastructure as a Service,基础设置即服务,消费者通过Internet能够从完好的计算机基础设施获得服务。比如AWS、OpenStack,CloudStack提供的虚拟机计算服务。
域名已准备并已完成域名备案,则可以在控制台添加自有域名。域名接入云直播后,系统会自动分配一个 CNAME 域名(推流域名以.tlivepush.com为后缀,播放域名以.tlivecdn.com为后缀)。CNAME 域名不能直接访问,需要在域名服务提供商处完成 CNAME 配置,配置生效后,即可享受云直播服务。
规则这里我选择缓存图片,那么只需要配置图片类型的后缀,缓存时间,可以根据情况,如果不是经常更新图片,选择30天也可以。
CDN 目前已经支持泛域名接入,但需要通过认证。 将腾讯云提供的验证文件上传至网站的根目录,验证成功后即可接入泛域名。 除此之外: 若泛域名,如 *.test.com 已经在腾讯云接入,则不支持该泛域名的任意子域名在其他账号接入。 若您已经接入泛域名 *.test.com,则不支持在此账号下接入 *.path.test.com 等形式的泛域名。
TCP/IP提供了通过IP地址来连接到设备的功能,但对用户来讲,记住某台设备的IP地址是相当困难的,因此专门设计了一种字符串形式的主机命名机制,这些主机名与IP地址相对应。
常常遇到用户的web服务配置了多个节点的情况下,配置无法访问,根本原因是用户没有理解http(https)的工作原理
HTTPS 是指超文本传输安全协议(Hypertext Transfer Protocol Secure),是一种在 HTTP 协议基础上进行传输加密的安全协议,能够有效保障数据传输安全。配置 HTTPS 时,需要您提供域名对应的证书,将其部署在全网 CDN 节点,实现全网数据加密传输功能。腾讯云 CDN 目前针对 HTTP2.0 协议支持 于2018年01月23号已经全面公测,大家可以结合本攻略直接前往使用。 启用 HTTP2.0 协议 方式:获得 HTTP2.0 资格的用户,在成功为域名配置了 H
利用内网穿透, 可以将内网中部署的软件通过外网来访问, 而外网能够访问则需要域名. 只要你拥有域名, 那就成功了一半.
在进行垃圾邮件投放时,经常会伪造知名平台的邮件来作为发送方,来提高用户对邮件的信任度,提高钓鱼邮件的成功率,但是作为知名公司,要尽量避免自家的域名成为黑客利用的目标,从而降低公司信誉,所以要对自家的域名进行加固,防止被恶意利用,造成不必要的损失。
我们知道用户在与互联网上的主机通信时,必须知道对方的 IP 地址。但是每个 IP 地址都是由 32 位的二进制组成,即使是十进制的 IP 地址表示形式,用户想要记住也是很难的一件事,况且互联网有那么多的主机。
昨天写了一篇使用cdn的教程,因为我也是第一次弄,出了不少的差错,今天重新写一篇。 本文参考 IOIOX博客 文章教程修改,已获得作者授权,如果有看不懂的地方请 查看原文 ;
首先,在插件 Really Simple SSL 的默认配置里,插件本身是自带301重导向到 https 设定的。 其次也默认内部的 WordPress 301 重新导向到 SSL。
Caddy是一个Go编写的Web服务器,类似于Nginx,Caddy提供了更加强大的功能,相较于Nginx来说使用Caddy有如下优势:
2、源站配置一个不同于加速域名的域名,配置到回源host里,把这个域名在DNS里A记录解析回源站IP。
比如域名www.qq.com,则该域名的父域名是qq.com,子域名是www.qq.com
在使用nginx反向代理后端服务器的时候,因为配置的是域名,导致HTTPS 请求转发失败,报 SSL 错误,js 报 502
LAMP我们都安装好了,但是现在在浏览器访问apache的话还不能解析php脚本,所以这会需要配置apache让apache能够解析php脚本:
曾经自己在Zoho的国际版网站申请过自定义域名邮箱,国内版与国际版进行申请的操作步骤大致相似,而且国内版也有一个做得很好的地方:只要域名能够正常解析,即使没有备案也可以正常使用这个服务。
CDN 和对象存储是经常被组合使用的一对云服务,用户可选择使用单一云厂商的组合服务,也可以选择多个云厂商的组合服务。本文对 CDN - 对象存储组合服务的单一云厂商模型和多家云厂商模型的成本构成进行了对比分析,并详细介绍了腾讯云 CDN 加速对象存储 COS 的实例。
领取专属 10元无门槛券
手把手带您无忧上云