利用codeblocks实现socket_Socket.io-file NPM模块中的文件类型

最新推荐文章于 2023-06-08 09:46:51 发布
最新推荐文章于 2023-06-08 09:46:51 发布
阅读量117 收藏
点赞数
文章标签: 利用codeblocks实现socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34542623/article/details/113365604
版权
在一次渗透测试中,发现一个使用Socket.io的Web应用程序存在路径遍历漏洞,允许上传文件到任意路径。通过研究,找到Socket.io-file模块的文件类型限制绕过,能上传任意文件类型,从而可能实现远程代码执行。通过修改配置文件如ssh_config、/etc/passwd,可以结合路径遍历漏洞进一步提升威胁。
摘要由CSDN通过智能技术生成
d290a47a14290ad94418b436339cc5eb.png

写在前面的话

在一次渗透测试过程中,我们所面对的应用程序安全系数比较高,没有存在太多的错误配置,因此简单分析并没有发现安全问题。但是深入分析后,我们发现了一个运行在嵌入式设备上的Web应用程序。这个Web应用程序使用了WebSocket来实现服务器和客户端之间的通信,为了使用WebSocket,后端系统可以选择的技术有很多种,而这里使用的是Socket.io。

这个应用程序的主要功能之一就是文件上传,这也是它选择使用Socket.io-file NPM模块的原因。总而言之,这里存在一个路径遍历漏洞,将允许我们上传文件到任意系统路径中,并让Web服务器运行该文件。

如果我们可以修改ssh_config、/etc/passwd或/etc/shadow文件的话,那么这个漏洞就相当于是一个远程代码执行漏洞了,但这只能通过root权限来实现,因此我们需要想办法利用低权限用户来实现远程代码执行。

通过研究之后,我们在Socket.io-file模块中找到了一个文件类型限制绕过漏洞。在该漏洞的帮助下,我们可以绕过模块配置文件中的文件类型限制。这样一来,我们就可以上传任意文件类型,然后通过修改底层配置文件来上传适当的Shell,以实现底层系统的远程代码执行。

除此之外,Socket.io-file的上传功能也存在对输入数据处理和验证逻辑不正确的问题,

最低0.47元/天 解锁文章
OF COURSE想当然
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Win10下CodeBlock实现socket TCP server/client
鹰之翔
06-05 198
文章目录1 安装codeblock2 适配libws2_32.a库3 TCP socket工作原理4 代码实现服务端客户端5 运行效果 1 安装codeblock 官方免费下载 值得一提的是,安装时,指定安装路径,其他默认安装即可 2 适配libws2_32.a库 默认安装,只有3个库,如果编译socket,需要专门的库libws2_32.a,可下载 同时需要在项目设置 3 TCP socket工作原理 4 代码实现 服务端 //server.c #include <stdio.h>
利用codeblocks实现socket_Android 基于 TCP 的 Socket 编程实现
weixin_29010003的博客
01-25 580
两个进程进行通讯最基本的前提是能唯一标识一个进程,在本地进程通讯可以使用 PID 来唯一标识一个进程,但 PID 在本地是唯一的,网络两个进程 PID 冲突几率很大,这就要通过其他手段来唯一标识进程了,IP 层的 ip 地址可以唯一标示主机,再结合 TCP 端口号就可以唯一标示某个主机的进程。唯一标示网络的进程后,就可以利用 Socket 通信了,到底什么是 Socket 呢?我们...
CodeBlocks Socket通信 交叉编译
07-19
CodeBlocks Socket 交叉编译,windows 下需在 Build Option下 link libraries增加wsock32
codeblocks socket编程
weiwjacsdn的博客
02-07 5228
code blocks下使用socket编程总是出现编译错误,这是因为缺少ws2_32.lib。 下一步 添加ws2_32.lib 添加路劲就是CodeBlocks\MinGW\lib\libws2_32.a。 这个libws232.a就是code blocks下的ws2_32.lib。 添加之后就可以了
Windows下使用Codeblocks写c语言socket
万物皆可互联,一切均可编程
06-15 6652
如何在Windows下使用Codeblocks写c语言socket 首先新建一个工程 然后右键点击工程名称->Build options->Linker setting 在Link libraries->add->在codeblocks安装路径下MinGW\lib下找到libwsock32.a,加入工程 在Other linker options下加入-lwsock32 书写符合winsoc
windows用Code::Blocks实现socket通信(C语言 不死循环)
weixin_43931875的博客
11-30 2573
原理图如下 部分函数的用法我有在代码注释出来 现在开始实现 首先,code::blocks要连上库要自己设置,比如我们要用到的“ws2_32.lib” 这个文件可以自己找,也可以去网上百度下载,附上本人在百度上找到的资源:[http://www.ddooo.com/softdown/46669.htm#dltab](建议自行百度搜索) 下载过后就可以在code::blocks上连接了 链接...
codeblocks-20.03-32bit-mingw-32bit-nosetup.zip
12-14
1. `codeblocks.dll`:这是Code::Blocks的主要执行文件,包含了IDE的核心功能。当启动Code::Blocks时,这个文件会被加载到内存,以执行各种编辑、编译、调试等任务。 2. `wxmsw313u_gcc_custom.dll`:这是一个...
lvgl_v8_sim_codeblocks_win-master.zip
08-25
Code::Blocks,你可以利用其强大的调试功能,对LVGL的运行过程进行深入理解,从而更好地利用LVGL的功能。 总的来说,`lvgl_v8_sim_codeblocks_win-master.zip` 提供了一个便捷的开发环境,让你能够在Windows上...
Opencv411_codeblocks-mingw_install.rar
05-17
Cmake+CodeBlocks编译后的Opencv4.1.1(包含contribute)的连接包,配置过程见https://blog.csdn.net/hxm_520/article/details/116926138
CodeBlocks_C语言_gcc-nm.exe_
09-30
标题的"CodeBlocks_C语言_gcc-nm.exe"表明这个压缩包包含的是与CodeBlocks相关,特别是与C语言编程和`gcc-nm.exe`工具有关的内容。 `gcc-nm.exe`是GNU Compiler Collection(GCC)的一部分,是一个用于查看编译后...
codeblocks-20.03-32bit-mingw-32bit-setup.exe
11-22
codeblocks-20.03-32bit-mingw-32bit,当前2021是最新版,更新版本可以去官网下载(32位与64位版本有一些差别)使用者按需下载
Code:Block下:socket编程undefined reference to `__imp_WSAStartup‘|
ayouayouwei
12-02 3388
问题 socket编程,打开代码发现报错:undefined reference to `__imp_WSAStartup’| 解决方法 1 首先可以尝试代码直接引入动态库,#pragam comment(lib,“ws2_32”); 2 如果不行再手动添加库 setting->compiler 打开Compiler setting 页面 在Global compiler settings 选项卡里选择Linker settings, 在other linker options:里添加-lwsock
Socket服务端和客户端(C++,CodeBlocks+GCC编译)
weixin_30235225的博客
03-13 329
//main.cpp 1 #include "j_socket.h" 2 #include <stdio.h> 3 #include <pthread.h> 4 static int port=21; 5 j_server* ser; 6 void* main_listen( void* args) 7 { 8 ser=new j_s...
Windows系统 CodeBlock 加载UDP socket C++工程无法编译通过怎么办
maoxingqisan的博客
02-15 161
Windows系统 CodeBlock 加载UDP socket C++工程无法编译通过怎么办一、看报什么错二、环境问题应该怎么解决三、测试验证 一、看报什么错 有的同学从网上下载别人的socket相关的代码工程来做参考,但是实际运行之后,发现socket代码工程在Windows下的CodeBlock无法通过编译。遇到这种问题我们首先看编译软件的错误提示,如果CodeBlock 编译时报的错误提示不是C++的基本语法错误,一般就是环境因素导致。 下图为环境因素导致工程报错的截图: 二、环境问题应该怎么解决
WINDOWS下使用CODEBLOCK编译socket程序出错
superce的博客
12-19 867
版本:codeblocks 16.01 解决方法: 找到CodeBlocks的Settings->Compiler 点击Linker settings,在Link libraries添加WS2_32.lib的路径 【注意】 在我的电脑里有四个WS2_32.lib文件,他们是适用于不同的环境,不要弄错了
如何在CodeBlocks配置pthread、socket
qq_46066732的博客
06-08 667
如何在CodeBlocks配置pthread、socket
CodeBlocks下进行Socket编程 #pragma comment(lib, “ws2_32.lib“)
qq_43474637的博客
12-30 2261
相比于Visual C++,有些人人可能更偏向于使用Code Blocks进行编程; 而遇到Socket编程的问题,遇到#pragma comment(lib, "ws2_32.lib"),但还是想用Code Blocks进行,对相关问题的解决做一下记录。
Socket实现双机通信
m0_62377787的博客
06-14 3247
计算机网络课程设计:Socket实现双机通信(C/C++)
C语言-Socket实现双人网络通信
qq_43293994的博客
03-14 2469
服务端 1、负责转发双方的消息 |----1.1、接收客户端A的消息,并转发给客户端B |----1.2、接收客户端B的消息,并转发给客户端A 客户端 1、可以发送消息给对方 2、可以接受对方的消息 关于线程 1、服务的与客户端均使用了线程,在客户端主线程负责我方发送消息,另一个线程(函数名:ThreadReceive)用于接收对方的消息并显示在控制台(底部给出参考链接)。 工作流程图 详细流...
opencv411_codeblocks-mingw_install.rar
最新发布
09-01
opencv411_codeblocks-mingw_install.rar 是一个压缩文件,里面包含了在Windows平台上使用Code::Blocks和mingw编译器安装OpenCV的必要文件和教程。 Code::Blocks是一个开源的集成开发环境(IDE),它提供了友好的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值