0x01 GlassFish 任意文件读取漏洞复现

已于 2024-10-12 10:25:36 修改
阅读量460 收藏 12
点赞数 4
分类专栏: 漏洞库 文章标签: 安全
于 2024-08-18 17:26:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/141301933
版权

参考文章:

免责声明

欢迎访问我的博客。以下内容仅供教育和信息用途:

  1. 合法性:我不支持或鼓励非法活动。请确保遵守法律法规。
  2. 信息准确性:尽管我尽力提供准确的信息,但不保证其完全准确或适用。使用前请自行验证。
  3. 风险提示:技术使用可能带来风险,如系统损坏或数据丢失。请谨慎使用,并自行承担风险。
  4. 责任限制:我对使用博客内容产生的任何损害不承担责任。
  5. 第三方链接:博客中的链接仅为方便用户,内容不由我负责。

使用本博客即表示您同意以上条款。如果有疑问,请联系我。

一、fofa 搜索使用该服务器的网站

网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统

"glassfish"&& port="4848"

参数解释:

  • "glassfish"

    • 搜索内容中包含“glassfish”字样。
    • GlassFish 是一种应用服务器。

  • &&

    • 逻辑与运算符,用于同时满足多个条件。

  • port="4848"

    • 指定搜索的端口号为
最低0.47元/天 解锁文章
技术探索
关注
专栏目录
漏洞复现 Oracle GlassFish Server 任意文件读取漏洞(CVE-2017-1000028)
nnn2188185的博客
04-16 1204
Oracle GlassFish Server Open Source Edition 4.1版本中存在任意文件读取漏洞。攻击者可借助特制的HTTP GET请求利用该漏洞访问敏感数据。 CVE-2017-1000028 CNNVD-201707-831 CNVD-2017-27302
快速检测 GlassFish 任意文件读取漏洞的 Python 脚本
weixin_43263566的博客
05-28 1727
快速检测 GlassFish 任意文件读取漏洞的 Python 脚本
GlassFish 任意文件读取漏洞
weixin_51387754的博客
11-26 1275
漏洞简介 glassfish是一款java编写的跨平台的开源的应用服务器。 java语言中会把%c0%ae解析为\uC0AE,最后转义为ASCCII字符的.(点)。利用%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/来向上跳转,达到目录穿越、任意文件读取的效果。 漏洞复现 这里使用4.1.0版本 使用vulhub cd /vulhub/glassfish/4.1.0 (root????guiltyfet)-[/home/guiltyfet/vulhub/glassfish/4.
glassfish任意文件读取漏洞
剁椒鱼头没剁椒的博客
01-27 1285
GlassFish是一款强健的商业兼容应用服务器,达到产品级质量,可免费用于开发、部署和重新分发。开发者可以免费获得源代码,还可以对代码进行更改。
glassfish任意文件读取漏洞-漏洞复现
m0_66376444的博客
04-15 400
GlassFish是一款强健的商业兼容应用服务器,达到产品级质量,可免费用于开发、部署和重新分发。开发者可以免费获得源代码,还可以对代码进行更改。GlassFish漏洞成因:java语义中会把"%c0%ae"解析为"\uC0AE",最后转义为ASCCII字符的"."(点)。执行POC进行任意文件读取linux下的/etc/passwd或者windows下的win.ini,成功读取。domains/domain1/config/domain.xml 各种数据库密码位置。三、GlassFish的敏感目录。
glassfish任意文件读取漏洞解析
weixin_30449453的博客
01-10 568
一、背景: glassfish是一款java编写的跨平台的开源的应用服务器。 二、漏洞原理: 与宽字节SQL注入一致,都是由于unicode编码歧义导致的。具体payload如下构造: http://ip:port/theme/META-INF/%c0%ae%co%ae/%c0%ae%co%ae/xxxpath/xxxfile 上述利用可以变形: http://ip:port/them...
GlassFish 任意文件读取
内心不种满鲜花就会长满杂草
03-04 4375
一. 漏洞描述 glassfish是一款java编写的跨平台的开源的应用服务器。2015年10月,被爆出通用任意文件读取漏洞。利用这个漏洞,攻击者可读取服务器上任意文件。 与宽字节SQL注入一致,都是由于unicode编码歧义导致的。 影响版本:4.0至4.1 二. 漏洞复现 1. 环境搭建 使用vulhub中的环境搭建 访问8848 2. 构造如下payload: https://your-ip:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c
深入浅出带你学习GlassFish中间件漏洞
老司机的后备箱
02-16 942
今天总结了一下GLASSFISH中间件的常见的攻击漏洞的利用手法,不知道大家有没有学会,可以看到GLASSFISH中间件由于解析特性的原因都可能存在漏洞,同时也有类似于WEBLOGIC部署WAR包的漏洞,还是值得我们认真学习一下的,如果喜欢本文希望可以一键三连支持一下。整理了一套《前端大厂面试宝典》,包含了HTML、CSS、JavaScript、HTTP、TCP协议、浏览器、VUE、React、数据结构和算法,一共201道面试题,并对每个问题作出了回答和解析。
glassfish任意文件读取漏洞.py
04-19
glassfish任意文件读取漏洞批量检测脚本,如果有使用问题可以加qq:2369779427
vulhub漏洞复现21_GlassFish
weixin_44193247的博客
01-30 959
vulhub漏洞复现练习篇
GlassFish漏洞总结复现
1ance's blog
11-14 6605
写在前面:本文为漏洞复现系列GlassFish篇,复现漏洞已vulhub中存在的环境为主。 欢迎大家点赞收藏,点点关注更好了hhhhhh 文章目录简介GlassFish 任意文件读取(CVE-2017-1000028)漏洞原理影响范围漏洞复现修复建议GlassFish 后台Getshell漏洞原理影响范围漏洞复现修复建议总结 简介 GlassFish 是用于构建 Java EE 5应用服务器的开源开发项目的名称。它基于 Sun Microsystems 提供的 Sun Java System Appli
深入浅出带你学习GlassFish中间件漏洞/深入浅出带你学习GlassFish中间件漏洞-详细白帽子指南
最新发布
2401_84915584的博客
05-20 991
本文正在参加「金石计划 . 瓜分6万现金大奖」前文上文给大家带来了常见的漏洞不知道大家理解了没有,今天给大家带来一个新的中间件漏洞的讲解——
java glassfish漏洞_Oracle Java GlassFish Enterprise Server组件信息泄露漏洞
weixin_39676979的博客
02-26 186
发布日期:2012-06-13更新日期:2012-06-14受影响系统:Oracle GlassFish Enterprise Server 3.1.1描述:--------------------------------------------------------------------------------CVE ID: CVE-2012-0551Oracle GlassFish Ser...
glassfish任意文件读取漏洞(4.0/4.1)
3569
03-28 1933
相关厂商:glassfish漏洞编号:wooyun-2010-0144595漏洞详情:http://localhost:4848/theme/META-INF/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0...
漏洞复现----11、GlassFish任意文件读取
七天
11-10 3153
文章目录一、Glassfish简介二、漏洞简介 一、Glassfish简介 GlassFish是一款java编写的跨平台的开源的应用服务器,达到产品级质量,可免费用于开发、部署和重新分发。开发者可以免费获得源代码,还可以对代码进行更改。Glassfish是Oracle 开发的官方Java EE容器,也是同时支持Servlet和EJB,支持最新的特性,有自己的web容器,支持集群,支持热部署。 二、漏洞简介 GlassFish容器解析了java语言中的特殊字符导致漏洞的产生。此漏洞严格来说是Glassf
记一次GlassFish任意文件读取漏洞复现
weixin_63021331的博客
06-13 459
GlassFish漏洞总结复现
中间件安全-CVE复现&Weblogic&Jenkins&GlassFish漏洞复现
jennycisp的博客
11-01 315
中间件及框架列表: IIS,Apache,Nginx,Tomcat,Docker,Weblogic,JBoos,WebSphere, Jenkins ,GlassFish,Jira,Struts2,Laravel,Solr,Shiro,Thinkphp, Spring,Flask,jQuery等1、中间件-Weblogic安全2、中间件-JBoos安全3、中间件-Jenkins安全4、中间件-GlassFish安全常见中间件的安全测试:1、配置不当-解析&弱口令。
11.关于GlassFish说法正确的是 ( 2分) 口A. GlassFish任意文件读取漏洞(CVE 2017-1000028)受影响版本为<=4.1.2版本 口B.默认端口: 8080 (Web应用端口,即网站内容) 口C.默认端口: 4848 (GlassFish管理中心) 口D. GlassFish存在漏洞即可getshell
06-06
GlassFish任意文件读取漏洞(CVE-2017-1000028)受影响版本为版本,这个说法也是正确的。 D. GlassFish存在漏洞并不一定能够getshell,这个说法是错误的。虽然GlassFish存在漏洞可能会被攻击者利用,但是否能够...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术探索

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值