CVE-2018-18778任意文件读取漏洞

最新推荐文章于 2024-05-14 11:40:31 发布
最新推荐文章于 2024-05-14 11:40:31 发布
阅读量703 收藏 1
点赞数 2
分类专栏: vulhub 文章标签: 安全 网络 web安全 网络安全 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61702710/article/details/131751990
版权

CVE-2018-18778是基于mini_httpd的一个任意文件读取漏洞

Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。

影响版本

ACME mini_httpd before 1.30

分析

当mini_httpd开启虚拟主机时,此时对文件请求就变成去访问host+请求的文件路径的内容 当我们把host为空时,就变成直接去访问请求的文件路径的内容了 当我们把请求的文件路径写为etc/passwd,也就变成了去访问服务器本地的psswd文件中的内容了

复现

1.从vulhub中开启此环境

image-20230716163554768

2.浏览器进行访问后的页面

image-20230716163648087

3.通过burp抓包,将host中内容为空,GET后输入绝对路径,可以看到命令被执行

image-20230716163840762

网安小陈(小白)
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CVE-2018-18778.docx
07-23
CVE-2018-18778 ,mini_httpd任意文件读取漏洞
mini_httpd任意文件读取漏洞CVE-2018-18778
EC_Carrot的博客
07-12 374
漏洞详细 详细请参考:https://vulhub.org/#/environments/mini_httpd/CVE-2018-18778/ 漏洞复现 发送请求是将Host置空,PATH的值是文件绝对路径:
vulhub mini_httpd漏洞复现 | CVE-2018-18778任意文件读取漏洞
鱼溯的博客
02-18 560
vulhub mini_httpd漏洞复现 | CVE-2018-18778任意文件读取漏洞
.exp文件_mini_httpd 任意文件读取漏洞(附EXP脚本)
weixin_39741101的博客
11-27 236
一、环境搭建:进入镜像目录:cd vulhub/mini_httpd/CVE-2018-18778启动环境:docker-compose up -d访问8088端口二、漏洞描述:Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxe...
GhostScript 沙箱绕过(命令执行)漏洞CVE-2018-16509)
黑白的博客
12-22 1230
声明 好好学习,天天向上 漏洞描述 8 月 21 号,Tavis Ormandy 通过公开邮件列表,再次指出 GhostScript 的安全沙箱可以被绕过,通过构造恶意的图片内容,将可以造成命令执行、文件读取文件删除等漏洞 GhostScript 被许多图片处理库所使用,如 ImageMagick、Python PIL 等,默认情况下这些库会根据图片的内容将其分发给不同的处理方法,其中就包括 GhostScript。 影响范围 Ghostscript 9.24之前版本 复现过程 这里使用7.0.8版本 使
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
CVE-2018-12463:Fortify软件安全中心(SSC)17.10、17.20和18.10中sscfm-wsservices中的XML外部实体(XXE)漏洞(0day CVE-2018-12463)
05-01
Fortify软件安全中心(SSC)17.10、17.20和18.10中/ ssc / fm-ws / services中的XML外部实体(XXE)漏洞允许远程未经身份验证的用户通过以下方式读取任意文件或进行服务器端伪造(SSRF)攻击在XML请求中制作DTD。...
安全的配置----mini_httpd任意文件读取漏洞CVE-2018-18778
qq_43571759的博客
05-01 955
mini_httpd任意文件读取漏洞CVE-2018-18778) Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 在mini_httpd开启虚拟主机模式的...
CVE-2018-11788:Apache Karaf XXE漏洞CVE-2018-11788)
03-18
概括 Apache Karaf是一个现代的多态应用程序容器。 它是由OSGi支持的轻量级,功能强大且可用于企业的容器。 Apache Karaf是一个“产品项目”,提供了完整的交钥匙运行时。 运行时是“多方面的”,这意味着您可以部署不同类型的应用程序:OSGi或非OSGi,Web应用程序,基于服务的等等。 在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入)漏洞。 导致解析器不正确地解析XML文档。 受影响的版本 Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6 分析 根据,Apache Karaf默认情况下提供了功能部署程序,该功能允许用户通过将文件直接放置在deploy文件夹中来“热部署”功能XML。 将功能XML放置在deploy文件夹中时,功能部署程序将执行以下操作: 将功能XML注册为功
漏洞复现----16、mini_httpd任意文件读取漏洞CVE-2018-18778
七天
11-01 1416
文章目录一、mini_httpd简介二、漏洞简介三、漏洞复现 一、mini_httpd简介 mini_httpd是一台小型 HTTP 服务器。其性能不是很好,但对于低或中等流量的网站,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 它实现了 HTTP 服务器的所有基本功能,包括: GET、HEAD和POST方法;
CVE-2018-18778任意文件读取漏洞复现
m0_48736242的博客
10-10 1669
CVE-2018-18778任意文件读取漏洞复现
CVE-2018-18778 mini_httpd任意文件读取
weixin_51387754的博客
12-03 3228
漏洞简介 Mini_httpd是一个微型的Http服务器,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。 在mini_httpd开启虚拟主机模式的情况下,用户请求http://HOST/FILE将会访问到当前目录下的HOST/FILE文件。 (void) snprintf( vfile, sizeof(vfile),
PHP开发的医院安全(不良)事件系统源码 医院不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
最新发布
爱笑的源码博客
05-14 972
医疗安全不容忽视! 医疗不良事件有哪些?又该怎样分类呢?也许这篇文章能给予你答案。
地埋式可燃气体监测终端,地下燃气管网安全“哨兵”
SUNVUA1028的博客
05-10 333
在现代都市的繁华之下,一条条地下燃气管网承载着城市的生命与活力,但管网老化腐蚀,第三方施工破坏,巡检维修不到位等问题,时刻影响着燃气管网安全运行,甚至威胁人民群众的生命财产安全。在这个快速发展的时代,旭华智能埋地式激光可燃气体监测仪,就像燃气管网卫士,时刻守护燃气管网安全,守护人民生命健康和财产安全,为城市的安全发展贡献力量。除监测可燃气体浓度外,还能监测水浸、温度、压力等多种参数,高度集成一体化设计,节省空间的同时,也提升了设备的实用性和便捷性。旭华智能多年来致力于燃气物联网监测领域,自主研发的。
提高岩土工程安全的关键:锚索测力计的应用
yousino1的博客
05-10 211
通过实时监控数据,工程师能够及时发现锚索力量的异常变化,并迅速采取补强措施,成功避免了一次可能的边坡滑坡,确保了施工安全和道路使用的安全。在众多技术和工具中,锚索测力计的应用在提高岩土工程的安全性方面发挥了不可替代的作用。- 坡面和边坡稳定:在施工或自然斜坡可能出现滑移的情况下,通过预应力锚索将斜坡加固,并使用锚索测力计监控锚索的实时力量,及时调整预应力,以防止坡面滑移。锚索测力计作为岩土工程中一项重要的监测工具,随着技术的不断进步,其应用将更加广泛,对保障工程结构的稳定性和安全性具有重大意义。
针对 % 号 | 引起的 不安全情况
m0_74381444的博客
05-11 958
%%%%%%
Apache Tomcat文件包含漏洞(CVE-2020-1938)
09-11
漏洞允许攻击者通过发送特制的请求来执行任意文件读取和包含。 该漏洞的根本原因在于Tomcat的处理器组件(Servlet、WebSocket等)对于路径参数错误地解析了请求。攻击者可以利用这一点来读取或包含Web应用程序...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值