漏洞复现
文章平均质量分 63
本节主要记录漏洞的复现过程。
包含漏洞涉及组件、系统、服务的讲解及搭建;漏洞的复现过程等。
李沉肩
纸上得来终觉浅,绝知此事要躬行。
展开
-
漏洞复现----50、Couchdb 垂直权限绕过漏洞(CVE-2017-12635)
Couchdb 垂直权限绕过漏洞(CVE-2017-12635)原创 2022-07-08 15:25:16 · 1594 阅读 · 1 评论 -
漏洞复现----49、Apache Airflow 身份验证绕过 (CVE-2020-17526)
Apache Airflow 身份验证绕过 (CVE-2020-17526)原创 2022-07-06 11:32:58 · 2832 阅读 · 0 评论 -
漏洞复现----48、Airflow dag中的命令注入(CVE-2020-11978)
Airflow dag中的命令注入(CVE-2020-11978)原创 2022-07-04 17:43:00 · 1578 阅读 · 0 评论 -
漏洞复现----43、Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)
Spring Cloud Function SpEL 代码注入 (CVE-2022-22963)原创 2022-06-30 17:09:48 · 1309 阅读 · 0 评论 -
漏洞复现----42、Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)
Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)原创 2022-06-30 15:23:35 · 1237 阅读 · 0 评论 -
漏洞复现----41、Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)
Spring Data Rest 远程命令执行漏洞(CVE-2017-8046)原创 2022-06-30 10:13:52 · 1110 阅读 · 0 评论 -
漏洞复现----40、Spring WebFlow 远程代码执行漏洞(CVE-2017-4971)
Spring WebFlow 远程代码执行漏洞(CVE-2017-4971)原创 2022-06-29 18:39:41 · 859 阅读 · 0 评论 -
漏洞复现----39、Spring Security OAuth2 远程命令执行漏洞 (CVE-2016-4977)
Spring Security OAuth2 远程命令执行漏洞 (CVE-2016-4977)原创 2022-06-29 16:41:57 · 1261 阅读 · 0 评论 -
漏洞复现----38、ThinkPHP5 5.0.23 远程代码执行漏洞
ThinkPHP 5.0.23远程代码执行漏洞原创 2022-06-29 14:36:13 · 1678 阅读 · 0 评论 -
漏洞复现----37、Apache Unomi 远程代码执行漏洞 (CVE-2020-13942)
CVE-2020-11975&CVE-2020-13942漏洞原创 2022-06-29 10:57:26 · 1064 阅读 · 0 评论 -
漏洞复现----35、uWSGI PHP 目录遍历漏洞 (CVE-2018-7490)
uWSGI目录遍历漏洞原创 2022-06-27 15:07:12 · 1961 阅读 · 0 评论 -
漏洞复现----34、yapi 远程命令执行漏洞
Yapi远程命令执行漏洞原创 2022-06-24 15:21:10 · 1811 阅读 · 0 评论 -
漏洞复现----33、Struts2/S2-013/S2-014
文章目录一、漏洞原理二、环境启动三、漏洞复现四、S2-014一、漏洞原理S2-013:Struts2 标签中 <s:a> 和 <s:url> 都包含一个 includeParams 属性,可以设置成如下值:1、none - URL中不包含任何参数(默认)2、get - 仅包含URL中的GET参数3、all - 在URL中包含GET和POST参数此时 或尝试去解析原始请求参数时,会导致OGNL表达式的执行需要在JSP页面中将s:url、s:a标签中的includeP原创 2021-06-29 16:06:06 · 544 阅读 · 0 评论 -
漏洞复现----32、Struts2/S2-012
文章目录一、漏洞原理二、环境启动三、漏洞复现一、漏洞原理在S2-003、005、009解决了参数名称及参数值处OGNL 表达式评估问题,其修复方案也是基于将可接受的参数名称列入白名单并拒绝对参数中包含的表达式进行OGNL解析,如此一来,这些修复动作也仅对部分漏洞有效果。S2-012中,包含特制请求参数的请求可用于将任意 OGNL 代码注入属性,然后用作重定向地址的请求参数,这将导致进一步评估。当重定向结果从堆栈中读取并使用先前注入的代码作为重定向参数时,将进行第二次评估。这使恶意用户可以将任意 O原创 2021-06-29 15:24:58 · 582 阅读 · 0 评论 -
漏洞复现----31、Struts2/S2-009
文章目录一、漏洞原理二、环境搭建三、代码解释四、漏洞复现五、修复方法一、漏洞原理Struts2对s2-003的修复方法是禁止静态方法调用,在s2-005中可直接通过OGNL绕过该限制,对于#号,同样使用编码\u0023或\43进行绕过;于是Struts2对s2-005的修复方法是禁止\等特殊符号,使用户不能提交反斜线。但是,如果当前action中接受了某个参数example,这个参数将进入OGNL的上下文。所以,我们可以将OGNL表达式放在example参数中,然后使用/helloword.act原创 2021-06-29 15:00:53 · 665 阅读 · 0 评论 -
漏洞复现----30、Struts2/S2-008
影响版本2.1.0 - 2.3.1漏洞原理S2-008 涉及多个漏洞,Cookie 拦截器错误配置可造成 OGNL 表达式执行,但是由于大多 Web 容器(如 Tomcat)对 Cookie 名称都有字符限制,一些关键字符无法使用使得这个点显得比较鸡肋。另一个比较鸡肋的点就是在 struts2 应用开启 devMode 模式后会有多个调试接口能够直接查看对象信息或直接执行命令,正如 kxlzx 所提这种情况在生产环境中几乎不可能存在,因此就变得很鸡肋的,但我认为也不是绝对的,万一被黑了专门丢了一个开启原创 2021-06-29 14:26:45 · 941 阅读 · 0 评论 -
漏洞复现----29、Struts2/S2-007
影响版本2.0.0 - 2.2.3漏洞原理参考 http://rickgray.me/2016/05/06/review-struts2-remote-command-execution-vulnerabilities.html当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction:(…)public class UserAction extends Ac原创 2021-06-29 14:00:12 · 1574 阅读 · 0 评论 -
漏洞复现----28、Struts2/S2-005
影响版本2.0.0 - 2.1.8.1漏洞原理s2-005漏洞的起源源于S2-003(受影响版本: 低于Struts 2.0.12),struts2会将http的每个参数名解析为OGNL语句执行(可理解为java代码)。OGNL表达式通过#来访问struts的对象,struts框架通过过滤#字符防止安全问题,然而通过unicode编码(\u0023)或8进制(\43)即绕过了安全限制,对于S2-003漏洞,官方通过增加安全配置(禁止静态方法调用和类方法执行等)来修补,但是安全配置被绕过再次导致了漏洞,原创 2021-06-29 12:08:16 · 531 阅读 · 0 评论 -
漏洞复现----27、Struts2/S2-001
影响版本2.0.0 - 2.2.3漏洞原理:当配置了验证规则 -validation.xml 时,若类型验证转换出错,后端默认会将用户提交的表单值通过字符串拼接,然后执行一次 OGNL 表达式解析并返回。例如这里有一个 UserAction:public class UserAction extends ActionSupport { private Integer age; private String name; private String email;然后配置有原创 2021-06-28 16:07:09 · 208 阅读 · 0 评论 -
漏洞复现----26、Zabbix latest.php SQL注入漏洞(CVE-2016-10134)
一、Zabbix概述Zabbix 是一个企业级分布式开源监控解决方案。Zabbix 软件能够监控众多网络参数和服务器的健康度、完整性。Zabbix由以下组件组成:1、Server:Zabbix server 是 Zabbix软件的核心组件,agent 向其报告可用性、系统完整性信息和统计信息。server也是存储所有配置信息、统计信息和操作信息的核心存储库。2、数据库:所有配置信息以及 Zabbix 采集到的数据都被存储在数据库中。3、Web 界面为了从任何地方和任何平台轻松访问 Zabbix原创 2021-06-28 13:39:26 · 735 阅读 · 1 评论 -
漏洞复现----25、Jupyter Notebook 未授权访问漏洞
文章目录Jupyter Notebook 未授权访问漏洞一、运行环境二、漏洞复现三、漏洞防御Jupyter Notebook 未授权访问漏洞Jupyter Notebook(此前被称为 IPython notebook)是基于网页的用于交互计算的应用程序,是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook是以网页的形式打开,可以在网页页面中直接编写代码和运行代码,代码的运行结果也会直接在代码块下显示。如果管理员未为Jupyter Notebook配置密码,将导致未授原创 2021-07-09 15:30:48 · 2234 阅读 · 2 评论 -
漏洞复现----24、ThinkPHP 2.x 任意代码执行漏洞
文章目录一、ThinkPHP简介二、preg_replace() 函数三、/e四、代码解析五、漏洞复现1、写入phpinfo()2、写入webshell一、ThinkPHP简介ThinkPHP是PHP语言的一种开源框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。在ThinkP原创 2021-07-13 17:02:06 · 1256 阅读 · 1 评论 -
漏洞复现----23、ThinkPHP5 5.0.22/5.1.29 远程代码执行漏洞
文章目录一、漏洞简介二、漏洞代码三、漏洞复现五、修复代码一、漏洞简介ThinkPHP是PHP语言的一种开源框架。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式版需要PHP5.0以上版本支持,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,ThinkPHP框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版原创 2021-07-14 10:33:43 · 1351 阅读 · 0 评论 -
漏洞复现----22、Redis未授权访问漏洞
文章目录一、简介二、漏洞环境三、漏洞复现1、未授权访问2、写入webshell3、利用公私钥获取root权限4、计划任务反弹shell一、简介Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存也可以持久化的日执行、Key-Value数据库。Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有添加防火墙规则避免其他非信任来源 ip 访问等策略时,会将 Redis 服务暴露到公网上;如果在没有设置密码认证(一般为空)的情况下,会导致任意用户未授权访问 Redis 以及原创 2021-07-15 17:27:12 · 1837 阅读 · 1 评论 -
漏洞复现----21、XXL-JOB executor 未授权访问漏洞
文章目录一、漏洞简介二、漏洞环境三、漏洞分析四、漏洞复现一、漏洞简介XXL-JOB是一个分布式任务调度平台,其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线,开箱即用。XXL-JOB分为admin和executor两端,前者为后台管理页面,后者是任务执行的客户端。executor默认没有配置认证,未授权的攻击者可以通过RESTful API执行任意命令。二、漏洞环境docker-compose up -d 访问:http://ip:8080即可查看原创 2021-07-23 15:57:24 · 2967 阅读 · 0 评论 -
漏洞复现----20、Apache Solr RemoteStreaming 任意文件读取和SSRF
文章目录一、Apache Solr简介二、内容流与RemoteStreaming1、内容流2、RemoteStreaming三、漏洞复现1、访问到Apache Solr的管理控制台一、Apache Solr简介Apache Solr是一个功能强大的开源搜索服务器,它支持REST风格API。在Apache Solr未开启认证的情况下,攻击者可直接构造特定请求开启特定配置,并最终造成SSRF或任意文件读取。影响版本:Apache Solr <= 8.8.11、下载地址:https://so原创 2021-10-12 11:11:12 · 641 阅读 · 0 评论 -
漏洞复现----19、Apache解析漏洞复现
文章目录一、Apache HTTPD多后缀解析漏洞1.1、漏洞原理1.2、漏洞复现二、Apache HTTPD换行解析漏洞2.1、漏洞原理2.2、漏洞复现一、Apache HTTPD多后缀解析漏洞1.1、漏洞原理形如:index.php.asc.cdb格式的,就是多后缀。Apache对文件名后缀的识别是从后往前进行的,当遇到不认识的后缀时,继续往前,直到识别。index.php.asc.cdb,在特定配置下,Apache会将其解析为PHP文件,利用此特性,我们可以绕过上传文件后缀检测,达到上传web原创 2021-10-20 11:44:03 · 2154 阅读 · 3 评论 -
漏洞复现----18、AppWeb 身份验证绕过漏洞 (CVE-2018-8715)
文章目录一、简介二、漏洞复现一、简介AppWeb 是基于开源 GPL 协议的嵌入式 Web 服务器,由 Embedthis Software LLC 开发和维护。它是用 C/C++ 编写的,几乎可以在任何现代操作系统上运行。它旨在为嵌入式设备提供一个 Web 应用程序容器。AppWeb可以配置认证,包括以下三种认证方式:1、basic:传统的HTTP基本认证;2、digest:改进了 HTTP 基本身份验证。在此模式下,Cookie 将用于身份验证而不是Authorization标头;3、f原创 2021-06-25 11:12:50 · 678 阅读 · 1 评论 -
漏洞复现----17、Adobe ColdFusion目录遍历漏洞 (CVE-2010-2861)
文章目录一、漏洞介绍二、漏洞环境1、环境2、Payload三、漏洞复现1、logging/settings.cfm2、datasources/index.cfm3、j2eepackaging/editarchive.cfm4、CFIDE/administrator/settings/mappings.cfm5、CFIDE/administrator/enter.cfm四、特殊构造1、路径后不跟参数值,失败。2、路径后参数值为数字,成功。3、路径后参数值为字母,成功。4、路径后参数值为特殊符号,成功。一、原创 2021-10-21 17:27:04 · 1119 阅读 · 0 评论 -
漏洞复现----16、mini_httpd任意文件读取漏洞(CVE-2018-18778)
文章目录一、mini_httpd简介二、漏洞简介三、漏洞复现一、mini_httpd简介mini_httpd是一台小型 HTTP 服务器。其性能不是很好,但对于低或中等流量的网站,在占用系统资源较小的情况下可以保持一定程度的性能(约为Apache的90%),因此广泛被各类IOT(路由器,交换器,摄像头等)作为嵌入式服务器。而包括华为,zyxel,海康威视,树莓派等在内的厂商的旗下设备都曾采用Mini_httpd组件。它实现了 HTTP 服务器的所有基本功能,包括:GET、HEAD和POST方法;原创 2021-11-01 17:48:41 · 1589 阅读 · 0 评论 -
漏洞复现----15、Ruby on Rails 路径穿越与任意文件读取漏洞(CVE-2019-5418)
文章目录一、Ruby on Rails 简介二、漏洞简介三、漏洞复现一、Ruby on Rails 简介Ruby on Rails(官方简称为 Rails,亦被简称为 RoR),是一个使用 Ruby 语言写的开源 Web 应用框架,它是严格按照 MVC 结构开发的。它努力使自身保持简单,来使实际的应用开发时的代码更少,使用最少的配置。Rails 的设计原则包括 “不做重复的事”(Don’t Repeat Yourself)和 “惯例优于设置”(Convention Over Configurati原创 2021-11-08 11:32:05 · 909 阅读 · 0 评论 -
漏洞复现----14、Ruby On Rails 路径穿越漏洞(CVE-2018-3760)
文章目录一、Ruby on Rails 简介二、漏洞简介1、Sprockets简介三、漏洞复现一、Ruby on Rails 简介Ruby on Rails(官方简称为 Rails,亦被简称为 RoR),是一个使用 Ruby 语言写的开源 Web 应用框架,它是严格按照 MVC 结构开发的。它努力使自身保持简单,来使实际的应用开发时的代码更少,使用最少的配置。Rails 的设计原则包括 “不做重复的事”(Don’t Repeat Yourself)和 “惯例优于设置”(Convention Ove原创 2021-11-08 14:01:23 · 1317 阅读 · 0 评论 -
漏洞复现----13、Apache Flink 文件上传漏洞 (CVE-2020-17518)
文章目录一、Apache Flink简介二、漏洞简介三、漏洞复现四、上传jar包getshell一、Apache Flink简介Apache Flink 是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算。Flink 能在所有常见集群环境中运行,并能以内存速度和任意规模进行计算。Apache Flink 是一个分布式系统,它需要计算资源来执行应用程序。Flink 集成了所有常见的集群资源管理器,例如 Hadoop YARN、 Apache Mesos 和 Kubernetes,但原创 2021-11-09 17:46:24 · 3457 阅读 · 0 评论 -
漏洞复现----12、Apache Flink目录穿越漏洞(CVE-2020-17519 )
文章目录一、漏洞简介二、漏洞复现一、漏洞简介Apache Flink 1.11.0中引入的更改,允许攻击者通过JobManager进程的REST接口读取JobManager本地文件系统上的任何文件。但是访问仅限于JobManager进程可访问的文件。影响版本:1.11.0、1.11.1、1.11.2二、漏洞复现Payload:192.168.198.132:8081/#/job-manager/logs/..%252f..%252f..%252f..%252f..%252f..%252f原创 2021-11-10 10:03:21 · 2929 阅读 · 0 评论 -
漏洞复现----11、GlassFish任意文件读取
文章目录一、Glassfish简介二、漏洞简介一、Glassfish简介GlassFish是一款java编写的跨平台的开源的应用服务器,达到产品级质量,可免费用于开发、部署和重新分发。开发者可以免费获得源代码,还可以对代码进行更改。Glassfish是Oracle 开发的官方Java EE容器,也是同时支持Servlet和EJB,支持最新的特性,有自己的web容器,支持集群,支持热部署。二、漏洞简介GlassFish容器解析了java语言中的特殊字符导致漏洞的产生。此漏洞严格来说是Glassf原创 2021-11-10 15:29:11 · 3139 阅读 · 0 评论 -
漏洞复现----10、Node.js CVE-2017-14849 任意文件读取
文章目录一、Node.js与Express1、Node.js2、Express3、影响版本4、环境安装4.1、Node.js 8.5.0安装4.2、Express 4.15.5安装二、漏洞原理三、漏洞复现一、Node.js与Express1、Node.jsnode.js是一个基于V8引擎的Javascript运行环境,它使得 Javascript 可以运行在服务端,直接与操作系统进行交互,与文件控制、网络交互、进程控制等。可以简单的理解为:node.js就是运行在服务端的Javascript。2原创 2021-11-11 13:29:00 · 1352 阅读 · 0 评论 -
漏洞复现----9、Elasticsearch插件目录穿越漏洞(CVE-2015-3337)
文章目录一、Elasticsearch简介二、漏洞简介三、漏洞复现一、Elasticsearch简介Elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java语言开发的,并作为Apache许可条款下的开放源码发布,是一种流行的企业级搜索引擎。Elasticsearch用于云计算中,能够达到实时搜索,稳定,可靠,快速,安装使用方便。官方客户端在Java、.NET(C#)、PHP、Pyt原创 2021-11-11 14:29:35 · 1082 阅读 · 0 评论 -
漏洞复现----8、Apache SSI远程命令执行
文章目录一、SSI(服务端包含)简介1、SSI(服务端包含)简介2、SHTML简介二、漏洞复现一、SSI(服务端包含)简介1、SSI(服务端包含)简介SSI是嵌入HTML页面中的指令,在页面被提供时由服务器进行运算,以对现有HTML页面增加动态生成的内容,而无须通过CGI程序提供其整个页面,或者使用其他动态技术。SSI就是在HTML文件中,可以通过注释行调用的命令或指针,即允许通过在HTML页面注入脚本或远程执行任意代码。SSI工作原理:将内容发送到浏览器之前,可以使用“服务器端包含 (SSI原创 2021-11-22 14:57:41 · 1486 阅读 · 0 评论 -
漏洞复现----7、FusionAuth 远程命令执行漏洞(CVE-2020-7799)
文章目录一、漏洞简介1、FusionAuth2、Apache FreeMarker3、漏洞描述二、漏洞复现一、漏洞简介1、FusionAuthFusionAuth是一个免费的身份管理平台,安装简单,易于集成。FusionAuth提供登录、注册、MFA、SSO、电子邮件模板、本地化、密码控制、强哈希、网络挂钩、基于角色的访问控制等功能。2、Apache FreeMarkerFreeMarker是一款模板引擎:即一种基于模板和要改变的数据,并用来生成输出文本(HTML网页,电子邮件,配置文件,源代原创 2021-11-24 17:59:55 · 1474 阅读 · 0 评论 -
漏洞复现----6、Jenkins远程命令执行漏洞(CVE-2018-1000861)
文章目录一、Jenkins简介二、CVE-2018-1000861简介三、漏洞复现一、Jenkins简介Jenkins是一个独立的开源自动化服务器,由JAVA开发。可用于自动化各种任务,如构建,测试和部署软件;也可以根据设定持续定期编译,运行相应代码;运行UT或集成测试;将运行结果发送至邮件,或展示成报告等。Jenkins可以通过本机系统包Docker安装,也可以通过安装Java Runtime Environment的任何机器独立运行。在很多中大型金融企业中普遍使用Jenkins来作为项目发原创 2021-11-25 12:02:24 · 4498 阅读 · 0 评论