Resin远程信息泄露漏洞

最新推荐文章于 2024-06-20 22:49:58 发布
最新推荐文章于 2024-06-20 22:49:58 发布
阅读量7.5k 收藏
点赞数

受影响系统:

  Caucho Technology Resin v3.1.0 for Windows

  Caucho Technology Resin v3.0.21 for Windows

  Caucho Technology Resin v3.0.20 for Windows

  Caucho Technology Resin v3.0.19 for Windows

  Caucho Technology Resin v3.0.18 for Windows

  Caucho Technology Resin v3.0.17 for Windows

  Caucho Technology Resin Professional v3.1.0 for Window

  不受影响系统:

  Caucho Technology Resin v3.1.1 for Windows

  Caucho Technology Resin Professional v3.1.1 for Window

  描述:

  BUGTRAQ ID: 23980

  CVE(CAN) ID: CVE-2007-2688

  Resin是一款由Caucho Technology开发的WEB服务器,可使用在Microsoft Windows操作系统下。

  Resin for Windows实现上存在多个漏洞,远程攻击者可能利用此漏洞非授权获取敏感信息。

  Resin没有正确过滤通过URL传送的输入,允许远程攻击者通过在URL中提供有任意扩展名的DOS设备文件名从系统上的任意COM或LPT设备读取连续的数据流、通过目录遍历攻击泄露Web应用的WEB-INF目录中的文件内容,或通过包含有特殊字符的URL泄露到Caucho Resin服务器的完整系统路径。

  <*来源:Derek Abdine

  链接:http://secunia.com/advisories/25286/

  http://www.rapid7.com/advisories/R7-0028.jsp

  http://www.rapid7.com/advisories/R7-0029

  http://www.rapid7.com/advisories/R7-0030

  *>

  测试方法:

  警 告

  以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

  http://www.example.com:8080/[path]/[device].[extension]

  http://www.example.com:8080/%20..\web-inf

  http://www.example.com:8080/%20

  http://www.example.com:8080/[path]/%20.xtp

  建议:

  厂商补丁:

  Caucho Technology

  -----------------

  厂商发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

  http://www.caucho.com/download/resin-pro-3.1.1.tar.gz

  http://www.caucho.com/download/resin-3.1.1.tar.gz


原文出自【比特网】,转载请保留原文链接:http://sec.chinabyte.com/364/11430864.shtml

cnbird2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
信息收集】——3、信息收集指南
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
信息泄露知识点汇集
zh_cn1的博客
08-10 232
信息泄露扫描工具 IDscan .git泄露利用工具 网站部署时未删除.git目录,导致源码泄露 Githacker .svn泄露 网站部署时未删除.svn目录,利用.svn/entries文件,获取源码 .svn/wc.db文件存在也导致源码泄露 Dumpall gedit备份文件 linux下用gedit编辑文件,当前目录下会生后缀为~的文件,其文件内容就是刚编辑的内容。 3 3~ vim备份文件 vim编辑文件www.txt意外退出时,会生成类似www.txt.swp的备份文件,利用vim -r w
【安全漏洞Resin解析漏洞分析
HBohan的博客
11-05 2586
前言 前阵子看有师傅在公众号上发表了Resin解析漏洞分析,我们也知道有个常用的OA用的就是Resin,因此我认为了解它的漏洞是十分必要的。 【学习资料】 原理分析 这个漏洞和IIS解析漏洞比较像,可以通过创建一个xxx.jsp的文件夹,并在其中放置一个txt文件,文件的内容将会被当作JSP解析。 我认为要分析这个漏洞原理,首先得先了解访问jsp文件时Resin是如何处理我们请求的。 首先看下*.jsp是被哪个Servlet处理的,从配置app- default.xml中可以看出,我们的请求会被com.ca
web中间件漏洞-Resin漏洞-密码爆破、上传war
最新发布
Alsn86的博客
06-20 332
想部署webshell,得使用SSL方式请求,访问https://192.168.1.2:8443/resin-admin/index.php?q=deploy&s=0(注:如果使用最新的火狐浏览器或者谷歌浏览器访问时可能会出现证书错误阻止访问,建议使用IE浏览器或者降低浏览器版本进行访问)。上传webshell,部署war文件,浏览选择C:\工具\resin\ma.war,点击Deploy。部署完成,访问即可xxx.xxx.xxx.xxx/ma/ma.jsp。
Resin Web服务器文件解析漏洞
阿诺轩
05-16 2200
Resin Web服务器文件解析漏洞author:Arno 2011-2-15摘要:Resin web server 在web.xml文件中servlet映射中支持正则表达式,比如标签” servlet-regexp”。但是在通用路径映射标签” servlet-mapping”的处理上也是将其属性”url-pattern”的值转化为正则表达式来进行servlet的映射,并且在转换时没有做安全校验处
Resin任意文件读取漏洞
weixin_30363509的博客
04-26 7279
Resin是什么 虽然看不上但是还是原因下百度百科: Resin是CAUCHO公司的产品,是一个非常流行的支持servlets和jsp的引擎,速度非常快。Resin本身包含了一个支持HTTP/1.1的WEB服务器。它不仅可以显示动态内容,而且它显示静态内容的能力也非常强,速度直逼APACHESERVER。许多站点都是使用该WEB服务器构建的。 可以认为是一个WEB服务器 Resin存在任意文件读...
从一次某微OA的漏洞复现,聊聊Resin的这个特性1
08-03
问题描述测试文件"特性"场景step1-上传文件在写某微OA的文件上传漏洞的EXP时,发现上传jsp文件后,即使jsp文件自删除后仍然可以访问(坑了我老半天时间
未授权访问漏洞
crystal_shrimps的博客
07-07 4612
一、resin 1 任意文件读取 默认下Resin的/webapps目录下/resin-doc中包含有一个扩展war文件,远程攻击者可能利用此漏洞读取Web主目录下的任意文件,包括JSP源码或类文件。 payload # viewfile任意文件读取 http://localhost/resin-doc/viewfile/?file=index.jsp # jndi-appconfig inputFile任意文件读取/SSRF http://localhost/resin-doc/resource/tut
代码审计-dubbo admin <=2.6.1远程命令执行漏洞
weixin_47208161的博客
02-12 6288
前置输入材料安全目标和需求架构分析供应链安全源代码审查依赖结构矩阵(Dependency Structure Matrices,DSM)数据流信任边界数据存贮威胁列表otter mana...
常见端口对应的漏洞利用方式
聚鼎安全
12-14 2459
目录常见端口对应的漏洞利用方式文件共享服务端口远程连接服务端口Web应用服务端口数据库服务端口邮件服务端口网络参加协议端口特殊服务端口 常见端口对应的漏洞利用方式 端口 服务 入侵方式 21 ftp/tftp/vsftpd文件传输协议 爆破/嗅探/溢出/后门 22 ssh远程连接 爆破/openssh漏洞 23 Telnet远程连接 爆破/嗅探/弱口令 25 SMTP邮件服务 邮件伪造 53 DNS域名解析系统 域传送/劫持/缓存投毒/欺骗 67/68 dhcp服务 劫持
resin-4.0.27-pro 破解包
08-18
覆盖pro.jar到 resin-4.0.27-pro/lib目录下。版本号必须保证完全一致。
亲测可用Resin Pro 4.0.48破解文件
05-23
Resin Pro 4.0.48破解文件,亲测可用
resin-3.1.10
08-10
Resin3.1.10老版本Resin3.1.10老版本Resin3.1.10老版本
resin-3.1.8
11-10
resin是一款application server。版本:3.1.8
resin-pro-3.1.8破解版
09-19
下载了别人的包和破解license文件合成。但有无替换,均可以正常启动,并访问主页。
SRC漏洞挖掘之信息收集
悦分享
07-08 1215
在SRC漏洞挖掘或渗透测试中,信息收集占很大一部分,能收集到别人收集不到的资产,就能挖到别人挖不到的洞。项目已整理Gitbook文档,方便阅览:Information Collection Handbook由此项目整理的SRC资产信息收集聚合网站:lovebear.top/info -- SRC信息收集导航知道目标域名之后,我们要做的第一件事情就是获取域名的注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。Whois 查询Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细
Resin 3.1.8在64位Windows 2003下 isapi_srun.dll 的BUG
KimSoft's Blog
11-22 3224
一直用iis6+resin3.1.8部署应用,近期一个项目使用64位的windows2003,resin3.1.8跑起来没有任何问题,但一和iis结合,访问就出问题。 访问了一下caucho-status,发现版本竟是3.1.6,看来resin3.1.8的win64目录下的isapi_srun.dll没有升级到3.1.8。没有办法,还好3.1.9出来,升级了一下,成功!
Resin多个远程信息泄露漏洞
战斗机
06-17 1335
Caucho Resin多个远程信息泄露漏洞 由于我工作的原因使用resin比较多,因为最近服务器因为这个漏洞被黑了,所以希望各个站长警惕起来,因为我发现使用resin的大站也不少例如17173还有pchome等,经过我的测试都有漏洞,虽然漏洞只能看源代码但是谁也不想自己辛苦写的东西给别人看吧。强烈支持使用resin的人打上补丁 Resin是一款由Caucho Technology...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值