超高危險性 CVE-2021-22005 vCenter漏洞影片示範
最近被評分為 CVSS 9.8/10 的VMware vCenter漏洞.
官方雖然有公告跟補丁了,不過一直沒有POC攻擊程式放出.
越南資安專家 @testanull 一貫以分析原廠補丁作風(如Exchange ProxyLogon漏洞),分析出1 day漏洞原理,並且立刻實作出半實驗品POC(攻擊程式) .
攻擊有二個步驟
1.VC有啟動了VMware 客戶經驗改進計畫 (CEIP) ,可以上傳檔案,內容和路徑可以任意修改,但檔案名必須有擴展名“.json”,不能寫web shell並執行!
2.任意 ˋ建立Web Shell
繞過rhttpproxy跟結合端點“/dataapp/agent”的漏洞,調用GLOBAL-logger 1.將日誌路徑設置為任意檔案
2.通過日誌記錄編寫 web shell
3.關閉日誌紀錄檔案並恢復.
POC (不太完整)
https://gist.github.com/testanull/c2f6fd061c496ea90ddee151d6738d2e
修補方法
https://www.vmware.com/security/advisories/VMSA-2021-0020.html
影片與內容出處 (越南文)
https://testbnull.medium.com/quick-note-of-vcenter-rce-cve-2021-22005-4337d5a817ee
#OSSLab #所以啥客戶體驗計畫我都關光光的
同時也有183部Youtube影片,追蹤數超過178的網紅小張的遊戲實況,也在其Youtube影片中提到,這部影片出現的頻道: 殭比:https://youtube.com/channel/UC3KNfbE-sffefCGKzUlZ70A 遊戲: https://www.crazygames.com/game/shellshockersio Discord群組: https://discord.gg...
「shell程式」的推薦目錄:
- 關於shell程式 在 OSSLab Geek Lab Facebook 的精選貼文
- 關於shell程式 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
- 關於shell程式 在 軟體開發學習資訊分享 Facebook 的精選貼文
- 關於shell程式 在 小張的遊戲實況 Youtube 的最讚貼文
- 關於shell程式 在 肥佬周Raiden San Youtube 的精選貼文
- 關於shell程式 在 貝殼仔的日常 /The Shells' Daily Youtube 的最佳解答
- 關於shell程式 在 Shell工具與腳本語言 的評價
- 關於shell程式 在 Linux Shell 程式設計與管理實務[第三版]【暢銷回饋版】 的評價
- 關於shell程式 在 Linux Shell 程式設計與管理實務[第三版]【暢銷回饋版】 的評價
- 關於shell程式 在 電玩業者暴雪娛樂遭大規模DDoS攻擊、駭客透過YouTube頻道 ... 的評價
shell程式 在 矽谷牛的耕田筆記 Facebook 的最佳貼文
ref: https://www.infoworld.com/article/3632142/how-docker-broke-in-half.html
這篇文章是作者訪談多位前任/現任的 Docker 員工,Docker 社群貢獻者, Docker 消費者以及市場分析師的相關心得文,目的是想要探討 Docker 商業模式的成功與失敗,到底目前 Docker 商業模式的進展是否有跡可循,以及我們可以從這些歷史決策中學到什麼?
Docker 不是輕量級虛擬化技術的開創者,但是卻是個將 Container 這個技術給推向所有開發者的重要推手,Docker 簡化整體的操作使得每個開發者都可以輕鬆的享受到 Container 的好處,但是從結果論來說, Docker 還是於 2019 年 11 月給 Mirantis 給收購了
到底 Docker 的商業模式哪一步走錯了,接下來就跟者作者一起去訪談與思考。
[Docker 的誕生之路]
Solomon Hykes(文章很多該人看法) 於 2008 年創辦一間專注提供 Platform as a Serivce 的公司, DotCloud,該公司希望讓開發者可以更簡易的去建置與部署開發的應用程式,該公司的底層技術後來也由 Docker 繼續沿用,當然創辦 Docker 的依然是 Solomon Hykes。
Docker 開源專案誕生之後吸引了全球目光,除了來自各地的使用與開發者外,大型公司如 Microsfot,AWS,IBM 等都也加入,但是就跟其他基於開源專案的軟體公司一樣, Docker 也面臨的商業模式的問題,這種類型的軟體公司到底要如何穩定獲利?
從 2021 往回看,一個很簡短的說法可以說是 Docker 的企業化管理工具 Docker Swarm 還沒有站穩腳步之時就遇到 Kubernetes 這個龐然怪獸,然後 Kubernetes 橫掃時間把所有 Docker Swarm 的市場全面清空,
當然真實版本一定更加複雜得多,絕對不是一句 Kubernetes 就可以概括的
[開源專案的商業化之路總是困難]
Docker 於 2014 年開始認真探討其商業策略,如何將其作為 Container 領頭羊的角色轉變成為一個可以帶來收入的策略,VC 創投的資金讓其有能力收購 Koality 與 Tutum,同年 Docker 也正式宣布第一個商業版本的支援計劃。
這一連串的計算誕生出了許多產品,譬如 Docker Hub 及 Docker Enterprise.
不過可惜的是上述的產品並沒有辦法從企業用戶手中帶來穩定的獲利,大部分的客戶相對於直接購買 Docker 解決方案,更傾向跟已經合作的系統整合商一起合作。
Solomon Hykes 今天夏天跟 infoworld 的一次訪談中提到,Docker 從來沒有推出一套真正的好的商業產品,原因是因為 Docker 並沒有很專注地去處理這塊需求。
Docker 嘗試每個領域都碰一小塊,但是卻發現想要同時維護一個開發者社群又要同時打造一個良好的商業產品是極度困難的, Dockre 花費大量的時間與金錢想要魚與熊掌兼得,但是最後才體會到這件事情幾乎不太可行,Hykes 也認為 Docker 應該要花更多時間去聆聽用戶的需求,而不是自己埋頭苦幹的去打造一個沒有滿足使用者需求的企業產品。
來自 Google 的開發推廣大使 Kelsev Hightower 於今年的訪談中提到,Docker 成功地解決問題,但是卻遇到了瓶頸,舉例來說,Docker 提供工具讓開發者可以 產生 Image, 提供地方儲存 Image,運行 Image 除了這些之外, Docker 還有可以發展的空間嗎?
Hykes 不贊同這個說法,譬如 RedHat 與 Pivotal 都很成功的將 Docker 整合到彼此的 PaaS 產品(OpenShift, Cloud Foundry),也成功從中獲利,所以 Docker 實際上有很多方式可以去獲利的,只是沒有成功而已。
從結果論來看, Docker 早期的商業夥伴,一家專注於 Travel 的科技公司, Amadeus 於 2015 年正式跟 Docker 分手改而投向 RedHat 的懷抱。
畢竟 RedHat 有提供更多關於 Container 相關的技術支援,畢竟對於一個想要踏入 Container 世界的企業,如何將應用程式容器化是第一步,而接下來則是更為重要的 Container Orchestration 解決方案,很明顯的 Docker 這個戰場上是完全被 Kubernetes 打趴的。
[Kubernetes 的決策]
Docker 拒絕擁抱 Kubernetes 被認為是一個致命的錯誤策略,Jérôme Petazzoni, Docker 第一位也是目前在位最久的員工提到, Docker 內部曾經針對 Kubernetes 的生態去探討過,當時內部的共識是 Kubernetes 架構過於複雜,而 Docker Swarm 的架構相對簡單,比較之下 Docker Swarm 應該更容易獲得商業上的成功。
從其他的訪談可以得知, Docker 曾經是有機會可以跟 Google 內的 Kubernetes 團隊一起合作發展 Kubernetes,並且有機會去掌握整個 Container 生態系的發展。如果這些合作可以順利發展,那 Docker GitHub 底下的第一個專案可能就會是 Kubernetes,而 Docker Swarm 可能根本就不會產生了。
Hykes 承認的說,那個時空背景(2014,2015)下, Docker 公司很難找到一個很好的 Container Orchestration 解決方案來滿足各種各戶的需求,而那時候的 Kubernetes 也很難斬釘截鐵的說就是那個解決方案, 畢竟那時候 Kubernetes 還非常早期,同時期還有很多開源專案,很難料想到
Kubernetes 最後會主宰整個 Container Orchestration 世界。
文章後半段還有非常多的討論,非常推薦大家去看全文,雖然沒有辦法改變歷史,但是從歷史中可以學到非常有趣的東西,特別是當被客戶問到 Docker/Kubernetes 的一些生態問題時,有這些歷史資料的可以讓你講起來更有迷之自信
shell程式 在 軟體開發學習資訊分享 Facebook 的精選貼文
shell script 常用來開發重複性的自動化任務,但是在編輯器中沒有像其它程式語言一樣有錯誤語法檢查功能,這個開源工具實現了這個功能,並支援流行的編輯器如 vim / vscode
shell程式 在 小張的遊戲實況 Youtube 的最讚貼文
這部影片出現的頻道:
殭比:https://youtube.com/channel/UC3KNfbE-sffefCGKzUlZ70A
遊戲:
https://www.crazygames.com/game/shellshockersio
Discord群組:
https://discord.gg/4zF9VVnsW9
錄影程式:
Windows內建錄影軟體
剪片程式:
InShot
伺服器位址:
www.hypixel.net
shell程式 在 肥佬周Raiden San Youtube 的精選貼文
Track Download: https://plutonization.com/pr2v
pr2v Discord 社群 : https://discord.com/invite/b2BRbFn7xC
周城會MeWe https://mewe.com/group/5fd8df742b3e657ab416804e
成為周城會會員 https://www.youtube.com/channel/UCBw1PFydwjjmLZlSjZ8P6cw/join
小周odysee https://odysee.com/@RaidenSan:2
小周Facebook專頁 https://www.facebook.com/raidensan13137
instagram https://instagram.com/raidensan/
#AssettoCorsa #大帽山 #Shell虛擬山路競速大賽2021
shell程式 在 貝殼仔的日常 /The Shells' Daily Youtube 的最佳解答
Codecademy網址:
https://www.codecademy.com/
影片中使用Python作為範例,此網站中亦可學習HTML&CSS、JavaScript、Java、SQL、Bash/Shell、Ruby、C++、R、C#、PHP、Go、Swift、Kotlin。
Song: Markvard - Time (Vlog No Copyright Music)
Music provided by Vlog No Copyright Music.
Video Link: https://youtu.be/NvZ3CN-vvsw
圖標網址:
https://www.google.com/imgres?imgurl=https%3A%2F%2Fupload.wikimedia.org%2Fwikipedia%2Fcommons%2Fthumb%2F6%2F6c%2FCodecademy.svg%2F800px-Codecademy.svg.png&imgrefurl=https%3A%2F%2Fzh.wikipedia.org%2Fzh-tw%2FFile%3ACodecademy.svg&tbnid=Uo7pg9Cl66-BBM&vet=12ahUKEwjU9-DFupzrAhVH5ZQKHa00AMcQMygBegQIARA_..i&docid=tHZEHLPUc2kx1M&w=800&h=168&q=codecademy&hl=zh-TW&ved=2ahUKEwjU9-DFupzrAhVH5ZQKHa00AMcQMygBegQIARA_
shell程式 在 Linux Shell 程式設計與管理實務[第三版]【暢銷回饋版】 的推薦與評價
新書預告『Linux Shell 程式 設計與管理實務[第三版]【暢銷回饋版】』 一本完整涵蓋Bash Shell 4.x 的各項功能介紹,是目前最詳實的中文書籍。 ... <看更多>
shell程式 在 Linux Shell 程式設計與管理實務[第三版]【暢銷回饋版】 的推薦與評價
主機管理的上乘之道,就在於能夠把工作予以自動化;凡是可以交給電腦做的事,就不要由人來做。工作自動化的關鍵,就在於管理者是否具備 Shell 程式 設計 ... ... <看更多>
shell程式 在 Shell工具與腳本語言 的推薦與評價
shell 知道去用python直譯器而不是shell命令來運行這段腳本,是因為腳本的開頭第一行的shebang。 在shebang行中使用 env 命令是一種慣例,它會利用環境變數中的程式來 ... ... <看更多>