twonkyserver 目录遍历 (CVE-2018-7171)

于 2024-07-19 10:37:19 发布
阅读量165 收藏
点赞数 2
分类专栏: # 目录穿越/遍历 文章标签: 服务器 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23003811/article/details/140542572
版权

一、漏洞概述

LYNX Twonky Server是美国LYNX TECHNOLOGY公司的一款媒体服务器,支持在连接的设备之间共享媒体内容。 远程攻击者可通过向rpc/set_all发送带有‘..’序列的‘contentbase’参数利用该漏洞分享任意目录的内容。

二、影响范围

LYNX Twonky Server 7.0.11版本至8.5版本

三、访问页面

四、漏洞复现

1、访问/rpc/dir?path=/

2、再访问/rpc/dir?path=010,010对应上一步的路径。

风中追风-fzzf
关注
专栏目录
sharingIsCaring:TwonkyMedia服务器7.0.11-8.5目录遍历CVE-2018-7171
05-15
分享Ising Caring TwonkyMedia Server Pwnd CVE-2018-7171 背景资料 这是一个GitHub存储库,保留有关CVE-2018-7171的所有相关信息。 (和更多) CVE-2018-7171代表TwonkyMedia Server版本7.0.11-8.5(最新版本)中的目录/文件遍历漏洞。 利用此漏洞,攻击者可以列出独立运行TwonkyMedia Server平台的设备上的所有文件。 此外,攻击者可以利用此漏洞从设备下载所有媒体文件(图片,视频和音乐)。 要利用此漏洞,TwonkyMedia Server一定不能用密码保护(这是默认设置)。 由于数量庞大,大约24,000个TwonkyMedia Server实例很少受到密码保护,因此可以通过Internet到达此范围,因此研究人员决定发布此漏洞。 也许您不知道TwonkyMedia Ser
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
window OS间通过DLNA播放流媒体
cloudGH的专栏
01-05 840
服务器采用XP,安装DLNA 服务器软件Twonky Server. 客户端使用win7,不需另装软件。使用Windows Media Player,只需设置下其中选项。 服务器端设置,相关文字网络上有很多,此处略去。 重点谈谈客户端设置。 客户端使用如下: 参照上面说明
vulfocus——twonkyserver(cve_2018_7171)
m0_62063669的博客
09-22 535
LYNX Twonky Server是美国LYNX TECHNOLOGY公司的一款媒体服务器,支持在连接的设备之间共享媒体内容。LYNX Twonky Server 7.0.11版本至8.5版本中存在。远程攻击者可通过向rpc/set_all发送带有‘..’序列的‘contentbase’参数利用该漏洞分享任意目录的内容。3.因为flag在tmp目录下,所有path=010。
twonkyserver 目录遍历CVE-2018-7171)漏洞复现【VULFOCUS靶场-初级】
01-12 3556
LYNX Twonky Server是美国LYNX TECHNOLOGY公司的一款媒体服务器,支持在连接的设备之间共享媒体内容。 LYNX Twonky Server 7.0.11版本至8.5版本中存在目录遍历漏洞。远程攻击者可通过向rpc/set_all发送带有‘..’序列的‘contentbase’参数利用该漏洞分享任意目录的内容。
【漏洞复现-twonkyserver-目录遍历】vulfocus/twonkyserver-cve_2018_7171
10-15 787
twonkyserver-目录遍历】读取文件
目录穿越漏洞CVE-2018-7171复现 又学到一招小技巧!!!!
最新发布
helloKittywz的博客
06-09 335
还是半夜睡不着,打开靶机开始操作。今天看了文件下载和目录穿越漏洞想结合以及防御方法。半夜来进行操作一波。复现一下漏洞开始操作起来!!!进入到页面,开始找细节,然后看了前面的提示操作,我前面也是以为要使用contentbases这个参数来进行访问。没有找到我想要的东西然后加上我前面说的那个参数没有找到的操作????我就在仔细去看,是要使用什么rpc/set_all发送带../序列的那个参数来进行操作的然后我去百度知道了rpc这个是远程过程调用的协议。说简单一点就是可以进行远程访问的操作。
CVE-2018-8174_EXP:CVE-2018-8174_python
05-16
CVE-2018-8174_EXP 用法:CVE-2018-8174.py [-h] -u URL -o输出[-i IP] [-p端口] 针对CVE-2018-8174的漏洞利用 可选参数:-h,--help显示此帮助消息并退出-u URL,--url URL exp url -o OUTPUT,--output OUTPUT...
CVE-2018-18778.docx
07-23
首先,进入Vulhub的`mini_httpd/CVE-2018-18778`目录,然后运行`docker-compose up -d`命令启动mini_httpd 1.29的容器。成功启动后,服务器将在`http://192.168.50.93:8080`上提供服务。此时,可以通过访问这个地址...
CVE-2018-3191利用exp
01-08
标题"CVE-2018-3191利用exp"涉及的是一个针对WebLogic服务器安全漏洞,该漏洞被命名为CVE-2018-3191。这个漏洞是由于WebLogic服务器中Spring框架的一个组件处理JNDI(Java Naming and Directory Interface)注入...
caring-fredericton-ui:贴心日历应用程序的响应式网站项目
05-03
思域科技-关怀日历 该项目包含“关怀日历”应用程序的响应式Web应用程序。 该项目使用React框架作为应用程序的基础。 功能性 用户注册 组织管理(注册,验证,更新) 安排活动 项目布局 条目组件是./src/App.js REST API端点集成在./src/api 与Auth相关的组件位于./src/auth 对话框添加到./src/components/dialogs 页面被添加到./src/components/pages 常见样式在./src/styles 形式 使用Formik + Yup进行验证 材料设计 全局主题: ./src/styles/materialAppTheme.js 本地组件样式: ./src/<component>/<component>.materialStyles.js component>/< ./src/<component>/<
cve-2018-2894:cve-2018-2894 不同别人的利用方法
04-29
Weblogic任意文件上传漏洞(CVE-2018-2894) 最近大家都在说这个漏洞,大家都注意到config.do这里发生了问题,但是其实根据 这里的信息,begin.do也是有问题。少扯淡,下面给出具体利用方法: 问题就出现下下面这个...
twonkyserver 目录遍历CVE-2018-7171
m0_65150886的博客
01-02 399
LYNX Twonky Server是美国LYNX TECHNOLOGY公司的一款媒体服务器,支持在连接的设备之间共享媒体内容。LYNX Twonky Server 7.0.11版本至8.5版本中存在目录遍历漏洞。远程攻击者可通过向rpc/set_all发送带有‘…’序列的‘contentbase’参数利用该漏洞分享任意目录的内容。2.访问/rpc/dir?1.访问ip:port。
VULFOCUS靶场(vulfocus/twonkyserver-cve_2018_7171:latest )
qq_44122254的博客
09-02 546
vulfocus/twonkyserver-cve_2018_7171:latest
DLAN 连接和使用体验——Twonky
热门推荐
samfang的专栏
05-23 1万+
DLAN 连接和使用体验——Twonky 松下说明书中讲到目前ST30C只支持与windows7 的DLAN连接,只好下载了windows7 系统,但是因为对windows7不甚了解,担心装机出现问题,故一直没有升级系统,昨天一不小心发现其实ST30C支持与xp系统的DLAN连接: 1 下载Twonkymeida server,google一下都能找到  http://www.on
TwonkyMedia6.0.38
大磊大的专栏
12-29 1951
注册码KXPG-LGPT-DPSX-XPXK-SKMK-CBGS-HXWS-FTST TwonkyMedia的下载地址: Windows XP、Vista、7:http://www.twonky.com/upfiles/TwonkyMediaSetupStandard.exe Mac:http://www.twonky.com/upfiles/TwonkyMediaServer_MO
twonky设置好电视服务器诊断找不到,Twonky 服务器 | 流畅多媒体体验 | QNAP
weixin_39603492的博客
07-29 591
安装 QTS 4.3.6 和 4.4.1(或以上版本)TS-131,TS-231,TS-431,TS-431U,TS-231+,TS-431+TS-131P,TS-231P,TS-431P,TS-531P,TS-231P2,TS-431P2,TS-431X,TS-431X2,TS-531X,TS-831X,TS-1635,TS-251D,TS-251C,TS-451S,TS-251,TS-451,...
8.5 注册码
hejias的专栏
02-24 3411
Subscriber:kobe Subscription Code:xLR8ZC-855550-615658598517277 可以使用到2016年!!!
开篇——游戏万岁
TYVC_220524的博客
05-24 255
这里是一名不断学习的游戏前端的博客,后续会持续更新游戏编程以及前端编程相关的个人学习记录等相关内容(如果不鸽的话)。 这里是个人开篇第一篇文章,以上~~~
mkdocs 1.2.2 内置开发服务器允许目录遍历cve-2021-40978
05-14
mkdocs是一款流行的静态网站生成器,它可以将Markdown格式的文档转换成HTML网页。不幸的是,mkdocs的1.2.2版本存在一个漏洞(CVE-2021-40978),如果使用内置的开发服务器,攻击者可以利用目录遍历漏洞来读取服务器上任何文件。这个漏洞的根本原因在于mkdocs没有正确处理用户提供的HTTP请求参数,导致攻击者可以在请求参数中注入恶意内容。 为了利用这个漏洞,攻击者需要发送一个带有特定参数的HTTP请求。参数中包含了“../”这个字符串,意味着攻击者可以访问服务器上根目录之外的文件。通过不断利用目录遍历漏洞,攻击者可以找到并读取服务器上的敏感文件,例如配置文件、密码文件等。这个漏洞对于那些使用mkdocs作为网站生成器并使用内置开发服务器的用户来说,非常严重,因为攻击者可以轻易地获取到他们的网站源码和其他敏感信息。 为了避免这个漏洞,用户可以升级到mkdocs的最新版本,或者使用其他的静态网站生成器。此外,也可以使用专门的Web服务器来代替mkdocs内置的开发服务器。在配置Web服务器时,用户应该注意避免目录遍历漏洞和其他网络安全问题。通过正确地配置Web服务器,用户可以增强他们网站的安全性,并避免潜在的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值