破晓十分 | 使用Go反向代理；passhunt：用于搜索网络设备Web应用程序默认账号密码的便捷工具

Posted 2021-04-25 破壳漏洞社区

  神器  

Passhunt - Tool For Searching Of Default Credentials For Network Devices, Web Applications And More

passhunt：用于搜索网络设备、Web应用程序默认账号密码的便捷工具。passhunt可以查找到523位供应商总2084个默认账号密码，这下再也不用辛苦的一个一个搜索网络设备和Web应用的默认账号密码了。

Twitter链接：

https://twitter.com/wezmaster/status/969402788437372928

GitHub链接：

https://github.com/Viralmaniar/Passhunt

  姿势   

使用Go反向代理克隆钓鱼网站

Jonathan Cooper分享使用Go反向代理进行网络钓鱼网站克隆，温馨提示：仅供学习，请勿用在非法用途。Judas工具是一个钓鱼代理，使用命令行即可克隆网站。在渗透测试中，我们经常会使用nginx反向代理用做内网域名转发。

Github链接：

https://github.com/JonCooperWorks/judas

内容链接：

https://medium.com/@cooperthecoder/phishing-with-a-reverse-proxy-23dd99557b5b

 Google Cloud Platform 

Sam Stepanyan小哥发现的Google为任何拥有Gmail帐户的用户提供免费的Google Cloud Platform ，Cloud shell为Debian系统，有5Gb空间。 注册Google Cloud Platform免费试用，即可获得 300 美元的赠金，并可试用12 个月，还有机会获得永久免费资格。

Twitter链接：

https://twitter.com/securestep9/status/710644931757522944

内容链接：

https://console.cloud.google.com/cloudshell 

  资讯  

Github周三遭受1.35T DDoS放大攻击，这次是Memchached的锅

缓解措施：

对于Memcache使用者

• memcache的用户建议将服务放置于可信域内，有外网时不要监听 0.0.0.0，有特殊需求可以设置acl或者添加安全组。

• 为预防机器器扫描和ssrf等攻击，修改memcache默认监听端口11211。

• 升级到最新版本的memcache，并且使用SASL设置密码来进行权限控制。

对于网络层防御

• 多个ISP已经对UDP11211进行限速。

• 打击攻击源：互联网服务提供商应当禁止在网络上执行IP欺骗。IP欺骗DRDoS的根本原因。具体措施可以参考BCP38。

• ISP应允许用户使用 BGP flowspec 限制入站UDP11211的流量，以减轻大型DRDoS攻击时的拥堵。

网站链接：

https://www.cyberscoop.com/github-denial-of-service-amplification-attack/

美国知名众测平台@Bugcrowd 宣布完成C轮融资2600万美金

如题，本轮领投方为Triangle Peak Partners。众测模式在海外发展得如火如荼，甚至得到美国国防部及军方的认可和尝试。另一知名众测平台HackerOne已于2017年2月宣布完成4000万美金C轮融资。

欢迎酷爱技术的你来破壳交流。

↓点击直通破壳