【漏洞复现】aiohttp-static-任意文件读取(CVE-2024-23334)

最新推荐文章于 2024-10-31 17:16:32 发布
最新推荐文章于 2024-10-31 17:16:32 发布
阅读量308 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/136362267
版权
本文介绍了aiohttp库的任意文件读取漏洞(CVE-2024-23334),详细阐述了漏洞产生的原因,即在启用静态文件服务且允许跟随符号链接时,可能导致目录遍历。通过复现该漏洞,读者可以理解其工作原理,同时提及了Nuclei工具在检测该漏洞中的应用。
摘要由CSDN通过智能技术生成

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

        aiohttp 是一个用于异步网络编程的Python库,支持客户端和服务器端的网络通信。它利用Python的asyncio库来实现异步IO操作,这意味着它可以处理大量并发网络连接,而不会导致线程阻塞或性能下降。aiohttp常用于需要高性能网络通信的应用程序,如高频交易平台、大规模并发API服务等

0x02 漏洞概述

        使用aiohttp作为Web服务器并配置静态路由时,需要指定静态文件的根路径

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
专栏目录
订阅专栏
aiohttp 目录遍历漏洞复现(CVE-2024-23334)
0xSec
02-28 856
aiohttp 存在目录遍历漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
[ vulhub漏洞复现篇 ] ImageMagick 任意文件读取漏洞 (CVE-2022-44268)
qq_51577576的博客
03-13 1081
[ vulhub漏洞复现篇 ] ImageMagick 任意文件读取漏洞 (CVE-2022-44268) 在ImageMagick 7.1.0-51版本及以前存在CVE-2022-44268漏洞。 ImageMagick 7.1.0-49 容易受到信息泄露的攻击。当它解析PNG图像(例如,调整大小)时,生成的图像可能嵌入了任意远程文件的内容(如果ImageMagick二进制文件有权读取它)。
CVE-2024-23334 aiohttp static follow_symlinks未授权任意文件读取漏洞】【漏洞复现】【漏洞poc】
weixin_43977052的博客
03-06 510
aiohttp是一个Python的HTTP客户端/服务器框架,它基于asyncio库实现异步编程模型,可以支持高性能和高并发的HTTP通信。aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。
Aiohttp 目录遍历漏洞CVE-2024-23334
iSee857的博客
09-02 738
aiohttp 是一个用于 asyncio 和 Python 的异步 HTTP 客户端/服务器框架。使用aiohttp作为Web服务器并配置静态路由时,需要指定静态文件的根路径。使用aiohttp实现的Web服务在 配置aiohttp中的静态资源解析时使用了不安全的参数follow_symlinks,代码如routes.static("/static", static_dir, follow_symlinks=True) 成功利用该漏洞读取服务器上任意文件。官方已在3.9.2及以上版本中修复次漏洞
aiohttp存在目录遍历漏洞(CVE-2024-23334)
qq_36334672的博客
03-01 407
aiohttp用于编写异步的Web服务器、Web应用程序或HTTP客户端,以提供对Web和HTTP资源的访问和操作。近日监测到aiohttp目录遍历漏洞漏洞情报,aiohttp使用选项"follow_symlinks"来决定是否跟踪静态根目录之外的符号链接。当"follow_symlinks "设置为 "True "时,将不会验证读取文件是否在根目录内从而导致目录遍历,攻击者可以利用此漏洞访问系统上的任意文件
CVE-2024-23334 aiohttp static follow_symlinks未授权任意文件读取漏洞】【漏洞复现
m0_60666841的博客
04-06 732
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
CVE-2024-23334 AIOHTTP 目录遍历漏洞复现
shelter1234567的博客
03-04 1646
aiohttp是一个基于 asyncio 实现的 Python HTTP 客户端和服务器框架。它提供了异步的 HTTP 客户端和服务器功能,能够处理高并发的网络请求。以下是关于aiohttp基于 asyncioaiohttp是基于 Python 的 asyncio 模块开发的,因此它利用了 Python 3.5+ 中引入的异步编程能力,支持异步 I/O 操作。HTTP 客户端aiohttp提供了一个强大的异步 HTTP 客户端,可以发送 HTTP 请求并处理响应。
CVE-2024-23334 AIOHTTP 目录遍历漏洞分析
黑剑
02-28 1081
当“follow_symlinks”设置为 True 时,不会进行验证来检查读取文件是否位于根目录内。这可能会导致目录遍历漏洞,从而导致对系统上的任意文件进行未经授权的访问,即使符号链接不存在也是如此。在使用 aiohttp 作为 Web 服务器时,错误配置静态资源解析可能导致目录遍历漏洞,允许攻击者未经授权读取系统上的任意文件。该漏洞的根本问题在于静态路由配置中的 follow_symlinks 选项,当设置为 True 时,可能绕过验证,使得符号链接可以指向根目录之外的文件,导致安全漏洞
黑客利用Aiohttp漏洞查找易受攻击的网络
smellycat000的专栏
03-18 114
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士勒索团伙 “ShadowSyndicate” 被指正在扫描易受CVE-2024-23334 影响的服务器。该漏洞是位于 Python 库 aiohttp 中的一个目录遍历漏洞Aiohttp 是构建于 Python I/O 框架 Asyncio 之上的开源库,用于处理无需基于传统线程网络的大量并发HTTP请求。技术企业、web开发人员、后台工程师...
漏洞复现】Adobe ColdFusion 任意文件读取漏洞 CVE-2024-20767
失心少年
04-23 782
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!该平台ColdFusion 2023
2024年网络安全最全【漏洞复现】2,网络安全程序员如何通过跳槽薪资翻倍
2401_84302583的博客
05-11 453
jndi:ldap://949cc308.ipv6.1433.eu.org,浏览器点击?并使用Burpsuite进行抓包并替换payload参数。其中{jndi:ldap://XXX}是jndi注入,XXX是一个域名,其中本实验中是我们申请的免费域名。{jndi:ldap://949cc308.ipv6.1433.eu.org},浏览器点击?注入位置在/hello目录下的一个payload位置,并且是get提交的数据,直接访问问号并抓包,就可以在改payload位置注入exp。
记录一个aiohttp的大坑,aiohttp请求不成功,而requests可以
zx的博客
04-16 2235
记录一个aiohttp的大坑,aiohttp请求不成功,而requests可以 差异: 1. requests发请求的时候会自动对headers进行排序,但是aiohttp不会 如果有些平台会对headers顺序检测的时候,就会出现问题 requests请求的时候的url发请求的时候url填的是,那么真实请求的时候就会是什么 但是!!! aiohttp就不一样!!!!aiohttp会把冒号、逗号等字符有解码回来! 有写网站会对url进行签名,这时候,aiohttp发请求时候的url做了转换,那么签名一
aiohttp 指定 tls 版本 (ssl 错误)
zpoint's blog
08-24 8906
某些网站对 ssl 1.0 以上的版本支持并不友好,但是 python ssl lib 默认会指定当前OpenSSL支持的最高版本,并且当服务器返回的ssl版本号低于或者等于1.0时, 会出现如下错误 aiohttp.client_exceptions.ClientConnectorError: Cannot connect to host www.mdnkids.com:443 ssl:&l...
2024年自学手册 网络安全(黑客技术)
2401_85027424的博客
10-31 655
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
2024年最新自学手册 -网络安全(黑客技术)
2401_85027082的博客
10-31 752
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
企业应该采用和支持网络安全的几个实践
最新发布
QQ3007250950的博客
10-31 727
总之,虽然这些实践乍一看很简单,但网络安全工程师必须记住它们的重要性。有时候,好的解决方案是最简单的。有了复杂的政策,就会产生混乱,这正是恶意行为者所希望看到的。当这些实践融入到组织的文化中时,效果会更好。
【热门主题】000012 网络幽灵的防线:探索新时代的网络安全策略
宝码香车的博客
10-28 1116
在当今数字化的时代,网络如同一张巨大的蜘蛛网,将世界紧密地连接在一起。它为我们带来了前所未有的便利和机遇,让信息得以在瞬间传递,让人们能够跨越时空进行交流与合作。
2024年第四届“网鼎杯”网络安全大赛-赛前模拟训练
ZXW_NUDT的博客
10-19 8760
2024年第四届“网鼎杯”网络安全大赛-赛前模拟训练
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值