GoCD 任意文件读取漏洞 (CVE-2021-43287)

已于 2024-07-15 10:59:17 修改
阅读量217 收藏 5
点赞数 6
分类专栏: # 文件读取 文章标签: 安全性测试
于 2024-07-15 10:10:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23003811/article/details/140430607
版权

一、漏洞概述

GoCD 一款先进的持续集成和发布管理系统,由ThoughtWorks开发。其前身为CruiseControl,是ThoughtWorks在做咨询和交付交付项目时自己开发的一款开源的持续集成工具。后来随着持续集成及持续部署的火热,ThoughtWorks专门成立了一个项目组,基于Cruise开发除了Go这款工具。ThoughtWorks开源持续交付工具Go。使用Go来建立起一个项目的持续部署pipeline是非常快的,非常方便。
GoCD的v20.6.0 - v21.2.0版本存在任意文件读取漏洞,可以通过/go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd 对文件进行读取。

二、影响范围

GoCD的v20.6.0 - v21.2.0版本

二、访问页面

三、漏洞复现,访问http://123.58.224.8:19151/go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd

下载了一个plugin文件打开是etc/passwd文件

四、漏洞利用

1、指纹识别

2、批量POC验证

风中追风-fzzf
关注
专栏目录
复现CVE-2021-43287GoCD plugin 任意文件读取漏洞
记录并分享学习安全的知识点..
09-27 320
GoCD plugin aip 参数中的 pluginName 参数存在任意文件读取漏洞,导致攻击者可以获取服务器中的任意敏感信息。
网络安全 渗透测试工具AWVS14
2401_84247617的博客
04-29 672
当旧版本的IAST传感器(AcuSensor)安装在Web应用程序上时,Acunetix将开始报告对CSRF代币的处理进行了相当大的更新漏洞页面现在包含一个唯一的漏洞ID多个UI更新多个DeepScan更新还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
GoCD plugin 任意文件读取漏洞--CVE-2021-43287
U_U520的博客
11-29 411
【代码】GoCD plugin 任意文件读取漏洞--POC。 CVE-2021-43287
GoCD plugin 任意文件读取漏洞 CVE-2021-43287
weixin_44522540的博客
09-07 536
GoCD任意文件读取
CVE-2021-43287 GoCD任意文件读取 漏洞复现
m0_58596609的博客
12-29 2268
CVE-2021-43287 GoCD任意文件读取 漏洞复现
[文件读取]GoCD 任意文件读取漏洞 (CVE-2021-43287)
wj33333的博客
11-14 288
其前身为CruiseControl,是ThoughtWorks在做咨询和交付交付项目时自己开发的一款开源的持续集成工具。后来随着持续集成及持续部署的火热,ThoughtWorks专门成立了一个项目组,基于Cruise开发除了Go这款工具。GoCD的v20.6.0 - v21.2.0版本存在任意文件读取漏洞,可以通过/go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd 对文件进行读取
gocd_docker_compose_example:一个简单的GoCD演示环境,使用docker-compose和yaml管道作为代码
01-30
GoCD基础架构即代码 一个简单的演示环境,该环境完全通过 /外部工具(gomatic)/通过XML配置文件自行配置并添加了构建管道(作为代码),例如作为配置。 版本 即装即用的服务器和代理容器+提供服务器的脚本(需要为...
gocdGoCD的主要存储库-连续交付服务器
02-04
GoCD可帮助您自动化和简化构建测试发布周期,从而无忧地连续交付产品。 要在学习关键GoCD概念的同时快速构建您的第一个管道,请访问我们的 。 开发设置 这是一个Java / JRuby on Rails项目。 这是设置的指南。 ...
域控漏洞-CVE-2021-42287&42278复现
热门推荐
君行路的博客
12-16 1万+
文章目录环境介绍sam-the-admin python利用脚本noPac利用脚本利用流程1. 查询MAQ值2. 普通域用户创建机器账户并清除SPN3. 重设机器名称4. 为机器账户请求TGT5. 再次更改机器账户的sAMAccountName6. 通过S4U2self协议向DC请求TGS票据参考链接 微信公众号:信安文摘 环境介绍 域:god.org windows 7 192.168.52.143 机器名称:stu1 域内普通用户:liukaifeng01:hongrisec@2021@ wind
速度更新!GoCD又曝仨洞,极易遭利用且结合利用可成供应链攻击的新跳板
smellycat000的专栏
11-12 270
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
第三方软件测评机构简析:软件安全性测试的方法和流程
卓码测评
09-12 364
随着信息技术的迅猛发展,软件在各行各业的应用日益普遍,软件安全性问题也愈加凸显。近几年来,频发的数据泄露、网络攻击事件,给企业和个人带来了不可估量的损失。这使得软件安全性测试成为软件开发过程中不可或缺的重要环节。
weixin007医院管理系统+Springboot.rar
09-13
所有源码,都是可以运行起来的
5G网络优化:片区满意度交流材料.pptx
最新发布
09-13
5G网络优化
操作系统内可以一键关闭WD
09-13
操作系统内可以一键关闭WD
weixin086基于微信小程序的影院选座系统+ssm.rar
09-13
所有源码,都是可以运行起来的
基于java的学生评奖评优管理系统的设计与实现.docx
09-13
基于java的学生评奖评优管理系统的设计与实现.docx
基于java的电商应用系统的设计与实现.docx
09-13
基于java的电商应用系统的设计与实现.docx
go自动化部署工具有哪些
06-03
3. GoCDGoCD是一款使用Go语言开发的持续交付工具,支持自动化构建、测试和部署等功能,适用于多种应用程序。 4. Kubernetes:Kubernetes是一款使用Go语言开发的容器编排工具,支持自动化部署、伸缩、容错等功能,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值