cuberite 文件读取 (CVE-2019-15516)

于 2024-01-08 16:58:45 发布
阅读量478 收藏 11
点赞数 11
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65150886/article/details/135461631
版权

漏洞描述:

Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。

Cuberite 2019-06-11之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。

攻击者可利用该漏洞访问受限目录之外的内容。 

复现过程:

1.访问http://ip:port,出现如下页面,开始实验

2.查看网站密码

/....//....//webadmin.ini

3.查看/etc/passwd

/....//....//....//....//....//....//....//....//....//etc/passwd

借此漏洞,可以访问攻击者想要的敏感数据,包括配置文件、日志、源代码等信息,更加方便攻击者对网站进行渗透。

修复建议:

1.升级版本

2.打补丁

3.上设备

慕筱蚺
关注
  • 11
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
cuberite:适用于Minecraft的轻便,快速和可扩展的游戏服务器
01-28
堇青石 Cuberite是Minecraft兼容的多人游戏服务器,用C ++编写,旨在通过内存和CPU高效运行,并具有灵活的Lua插件API。 Cuberite与Java版Minecraft客户端兼容。 Cuberite可在Windows,* nix和Android操作系统上运行。 这包括Android手机和平板电脑以及Raspberry Pi。 目前,我们支持1.8-1.12.2 Minecraft协议版本。 订阅以获取重要的更新和项目新闻。 安装 有几种获得铜柏石的方法。 二进制文件 最简单的方法是从下载Windows或Linux。 您可以使用适用于Linux和macOS的EasyInstall脚本,该脚本会自动下载正确的二进制文件。 脚本描述如下。 EasyInstall脚本 该脚本将从项目站点下载正确的二进制文件。 curl -sSfL https://download.cuberite.org | sh 编译中 您可以使用compile.sh脚本针对Linux,macOS和FreeBSD自动进行compile.sh 。 脚本描述如下。 您也可以手动编译。 参见
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
[文件读取]cuberite 文件读取CVE-2019-15516
最新发布
wj33333的博客
11-14 158
描述: Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。Cuberite 2019-06-11之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。网站后台地址:/....//....//webadmin.ini。查看/tmp/passwd。
vulfocus复现:Rails 文件读取CVE-2019-5418)
m0_71518346的博客
12-17 221
描述(来自vulfocus):Ruby on Rails 是一个用于开发数据库驱动的网络应用程序的完整框架。
Confluence 文件读取漏洞(CVE-2019-3394)复现
zzgslh的博客
04-07 757
【漏洞详情】 Atlassian Confluence是企业广泛使用的wiki系统 Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取 /confluence/WEB-INF/ 目录下的任意文件。 该目录可能包含用于与其他服务集成的配置文件,可能会泄漏认证凭据,例如 LDAP 认证凭据或其他敏感信息...
cve-2019-15666 xfrm_policy
inquisiter
09-09 1010
这个漏洞比较强,官方说明漏洞只会导致拒绝服务攻击,但实际上利用得当可以实现提权。影响范围3.x-5.x 漏洞成因,数组越界。需要需要插入用户定义的 index timer set。 XFRM_MSG_NEWSA请求的路劲添加policy。 添加policy需要通过verify_newpolicy_info的认证。但漏洞版本认证缺陷。 https://duasynt.com/blog/ubuntu-centos-redhat-privesc --- a/net/xfrm/xfrm_user.c +++ b/n
sudo-cve-2019-18634:CVE-2019-18634的概念证明
03-21
**sudo CVE-2019-18634 概念证明** sudo(Superuser DO)是Linux和Unix系统中的一个命令行工具,允许普通用户以超级用户(root)或其他用户的身份执行命令,通常用于管理系统。这个概念证明是关于CVE-2019-18634...
cve-2019-11477.rar
06-20
此漏洞只支持本地检测,不支持远程检测模式,检测成功率很高,可以排查网络资产中是否存在此问题,避免此漏洞造成的DoS 问题
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
Core:用于Cuberite的插件,可实现默认命令和一些其他功能
05-07
实现运行简单服务器所需的一些基本命令。 指令 一般的 命令 允许 描述 /禁止 核心禁令 禁止播放器。 /清除 核心清晰 清除播放器的清单。 /困难 核心难度 更改您所处世界的难度级别。 / deop core.unrank 将玩家添加到默认等级。 /做 core.do 以播放器的身份运行命令。 /影响 核心效应 向播放器添加效果。 /附魔 核心附魔 将附魔添加到指定玩家的持有物品中。 /游戏模式 core.changegm 更改玩家的游戏模式。 /给 给予核心 给玩家一个物品。 /帮助 core.help 显示可用的命令。 / ienchant 核心自我 向一件物品添加结界。 /物品 核心项目 给您的玩家一个物品。 /踢 核心踢 踢球员。 /杀 核心杀伤力 杀死一个玩家。 /列表 核心列表 显示已连接播放器的列表。 / listgroups c
cpp-Cuberite是一款兼容Minecraft的多人游戏服务器采用C编写
08-16
Cuberite是一款兼容Minecraft的多人游戏服务器,采用C 编写,旨在提高内存和CPU的效率,并具有灵活的Lua插件API。 Cuberite与Java Edition Minecraft客户端兼容。
C++实验代码
圣三一
10-21 5070
类与对象 一、实验目的及要求 1)掌握类的定义和使用;掌握类对象的声明;练习具有不同访问属性的成员的访问方式;观察构造函数和析构函数的执行过程; 2)学习类组合使用方法; 3)使用VC++的debug调试功能观察程序流程,跟踪观察类的构造函数、析构函数、成员函数的执行顺序。 二、实验内容 1)编写重载函数Max1可分别求取两个整数,三个整数,两个双精度数,三个双精度数的最大值。 2)写一个函数,具...
Cent OS 运行 Cuberite
weixin_30294021的博客
10-05 106
Cuberite 是一个轻量级的Minecraft服务端,由C++编写,性能比Mojang等等用java写的高很多。 在腾讯云的最低端VPS上,用Spigot建服的话,从主世界传送到下界用时要五六秒的样子。而Cuberite是秒进。 运行的时候,遇到一个错误 ./Cuberite: /lib64/libstdc++.so.6: version `GLIBCXX_3.4.20' ...
Minecraft 开服:从入门到精通
热门推荐
Markus_xu的博客
10-08 1万+
[2020]一条龙服务: 开服从入门到精通 零、前言 之所以想写这一篇一条龙教程,实在是因为国人开服,功利心很重,不需要过程,只需要结果。有的人开服,喜欢网上抓一个整合包就开起来,自己不会改,但是只要能得到“结果”就好了。在这个大环境下,国内服务器圈弥漫着一股粗制滥造和模板化的问题。而真正想从零开始的小白服主,又很难找到一个精准,完全的开服教程,往往要东拼西凑,获得经验。 本文的初衷是一条龙服务,为希望认真学习开服技术的小白服主们提供全面的服务。通过循序渐进的方式,通过夹杂着故事的技术讲解,为小白服主们揭开
Confluence 文件读取漏洞(CVE-2019-3394)分析
chr8230401的博客
09-03 582
作者: Badcode@知道创宇404实验室 日期: 2019/08/29 英文版本: https://paper.seebug.org/1026/ 前言 下午 @fnmsd 师傅发了个 Confluence 的预警给我,我看了下补丁,复现了这个漏洞,本篇文章记录下这个漏洞的应急过程。 看下...
confluence7安全补丁_Confluence 文件读取漏洞(CVE-2019-3394)分析
weixin_34984235的博客
02-15 816
作者: Badcode@知道创宇404实验室日期: 2019/08/29前言下午 @fnmsd 师傅发了个Confluence的预警给我,我看了下补丁,复现了这个漏洞,本篇文章记录下这个漏洞的应急过程。看下描述,Confluence Server 和 Data Center 在页面导出功能中存在本地文件泄露漏洞:具有“添加页面”空间权限的远程攻击者,能够读取/confluence/WEB-INF/...
CVE-2019-17564漏洞复现[基于Ubuntu 16.04 LTS]
rep_Su的博客
02-15 4924
基于Ubuntu 16.04 LTS的CVE-2019-17563漏洞复现0x0 漏洞描述0x1 影响范围0x2 漏洞复现环境准备环境搭建漏洞展示0x3 其他修复建议关于此文参考链接 0x0 漏洞描述 Apache Dubbo支持多种协议,官方推荐使用 Dubbo 协议,CVE-2019-17564是属于Apache Dubbo HTTP协议中的一个反序列化漏洞,该漏洞的主要原因在于当Apache...
Exim缓冲区溢出漏洞(CVE-2019-15846、CNVD-2019-30794) 排查方法
手机用户小可爱的博客
09-12 1101
一、漏洞概述 Exim是一个运行于Unix系统中的开源消息传送代理(MTA),它主要负责邮件的路由、转发和投递。 Exim存在缓冲区溢出漏洞,攻击者可利用该漏洞使用root权限执行任意代码。 二、影响范围 受影响的版本: 4.92.1及以下的所有版本 详情请参考如下链接: https://exim.org/static/doc/security/CVE-2019-1...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值