2021-03-17

最新推荐文章于 2021-11-10 17:26:45 发布

乐乐 

最新推荐文章于 2021-11-10 17:26:45 发布

阅读量192

点赞数

原文链接：https://www.jb51.net/article/127896.htm

版权

nodejs CVE-2017-14849复现

漏洞简单介绍
影响版本
环境
安装nodejs与express

漏洞简单介绍

漏洞产生主要原因：Node.js 8.5.0版本中对"…"处理与其他模块不兼容导致

影响版本

Node.js 8.5.0 + Express 3.19.0-3.21.2
Node.js 8.5.0 + Express 4.11.0-4.15.5

环境

Ubuntu下载安装包
node.js 8.5.0 （https://nodejs.org/download/release/v8.5.0/）
express-4.15.5 (https://github.com/expressjs/express/releases)
安装好burpsuite

安装nodejs与express

1.安装nodejs
如果原本有nodejs，可以先进行卸载：

sudo apt-get remove nodejs

在bin下通过
sudo rm -rf npm/node删除，再加入新的node版本
解压安装包

tar -zxvf node-v8.5.0-linux-x64.tar.gz

移到通用软件安装目录/opt,也可以安装到指定位置

mv node-v8.5.0-linux-x64 /opt/

mv显示permission denied使用sudo mv
安装 npm 和 node 命令到系统命令

sudo ln -s /opt/node-v8.5.0-linux-x64/bin/node /usr/local/bin/node 
sudo ln -s /opt/node-v8.5.0-linux-x64/bin/npm /usr/local/bin/npm

检查版本：

node -v

输出版本号8.5.0则表示配置成功
2.安装express
解压包：

tar -zxvf express-4.15.5.tar.gz

进入express目录下，安装express

cd express-4.15.5 && npm install

进入到expresss-4.15.5/examples/static-files目录里

node index.js

实验payload：
/static/…/…/…/a/…/…/…/…/etc/passwd
结果错误，可以使用vulhub上的cve进行复现

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

乐乐 

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

Node.js目录穿越漏洞（CVE-2017-14849）

m0_65247093的博客

05-26

1266

影响版本（wappalyzer） Node.js 8.5.0 + Express 3.19.0-3.21.2 Node.js 8.5.0 + Express 4.11.0-4.15.5 Express框架： Express是基于Node.js平台，快速、开放、极简的web开发框架漏洞本质：原因是 Node.js 8.5.0 对目录进行normalize操作时出现了逻辑错误，导致向上层跳跃的时候（如../../../../../../etc/passwd），在中间位置增加foo/../（...

2021-03-15

weixin_44902539的博客

03-15

1261

好网站 https://blog.csdn.net/u013317445/article/details/88196373?utm_medium=distribute.pc_relevant.none-task-blog-OPENSEARCH-6.control&dist_request_id=1328641.48931.16157665162059593&depth_1-utm_source=distribute.pc_relevant.none-task-blog-OPENSEARCH-

参与评论您还未登录，请先登录后发表或查看评论

2021-03-19

weixin_42564545的博客

03-19

476

aultium designer 中在原理图选择器件映射到 pcb，如下：选择原理图的器件，然后依次 tool— Select PCB Compoments 。或者用快捷键，依次按t s，接下来会从原理图跳到pcb器件。

2021-03-17T23:47:55.978+08:00 UTC时间转换

一路向前

03-18

1万+

UTC时间转换 UTC时间，也就是国际统一时间/国际协调时，表示方法： YYYYMMDD T HHMMSS Z(或者时区标识)。比如比较时间：2021-03-17T23:47:55.978+08:00 其中 “+08” 表示东八区。要求将数组中数值是字符串的UTC时间转换为常见的日期格式 [dream, 2021-03-17T23:47:55.978+08:00, 2021-03-17T23:57:55.978, yan] 变成： [dream, 2...

2021-03-01

brokedream的博客

03-01

959

#include<bits/stdc++.h> using namespace std; struct node { int val; int sum; }e[100005]; int main() { int n, k; int t; int box[100005] = {0}; int f[100005] = {0}; cin >> n >> k; int mx = 0; for(int i = 0 ; i < n ; i ++) {

CVE-2021-22205——Gitlab 远程命令执行漏洞复现

LiBai'S BLOG

11-10

9148

CVE-2021-22205Vuln Impact影响版本环境Fofa语法漏洞利用脚本反弹ShellEXP Vuln Impact An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a .

2021-03-17 工作中服务乱码问题解决措施

热门推荐

weixin_44819948的博客

03-17

8万+

问题：添加qt需要的中文字符集插件后，使用，在服务器上编译代码在普通客户机中使用，java端收到的数据依然有乱码。解决措施：在客户机上编译源码，客户机上运行，java端正常；将客户机生成的程序放到之前乱码服务器运行，java端收到数据正常。所以，后续软件版本在客户机上编译生成，然后在客户机或拷贝到服务器运行。 ...

2021-03-04

qq_55702243的博客

03-04

1236

Java程序设计学习第一天 1、从官网获取Java所需的相关文件； 2、安装JDK，设置环境变量； 3、安装eclipse及其汉化包； 4、了解相关指令； 5、实践操作Hello world实例； 6、二进制转十进制、十进制转二进制练习： 11011、11111 15、10 ...

2021-03-17：手写代码：单链表插入排序。

福大大架构师每日一题

03-17

4049

2021-03-17：手写代码：单链表插入排序。福大大答案2021-03-17：从链表的第二个节点开始遍历。当前节点的左边所有节点一定是有序的。先比较当前节点和左邻节点，如果左邻节点小于等于当前节点，直接下个节点；如果左邻节点大于当前节点，从链表的有序部分的第一个节点开始遍历，找到当前节点小于有序部分的某个节点，然后插入进去。代码用golang编写，代码如下： package main import "fmt" func main() { //head := &ListNode{

CRB-Action-Group-Webinar-2021-03-17

03-19

考虑到提供的压缩包子文件"CRB-Action-Group-Webinar-2021-03-17-main"，这很可能包含了网络研讨会的主要资料，如演示文稿、视频记录、讲义等。这些文件可能详细阐述了HTML在CRB行动组工作中的作用，可能包括以下...

pila2-DetailView:分会2021-03-17

03-20

【标题】"pila2-DetailView:分会2021-03-17" 指的可能是一个特定的会议或者研讨会的议题，其中"pila2-DetailView"可能是该活动的一个项目或技术模块，而"分会2021-03-17"则表明这是在2021年3月17日举行的分会场活动...

WebIDE-UISimpleTC-2021-03-17T01-27-40.963Z-github:为工具链创建

03-17

【标题】"WebIDE-UISimpleTC-2021-03-17T01-27-40.963Z-github:为工具链创建" 暗示了这是一个与Web集成开发环境（Web IDE）相关的项目，可能是一个用于创建或扩展工具链的代码库。日期部分（2021-03-17T01-27-40.963...

gitStudy:学习git（2021-03-17〜ing）

03-21

学习git（2021-03-17〜ing）我对sourcetree应用程序有疑问所以我尝试解决这个问题但是，我不能，我想对此问题负责，并将继续研究git和其他程序，然后有一天可以解决该问题 sourcetree的分支无法显示分支

中国智能网联市场发展趋势报告[2021-03-17]（49页）.pdf

05-26

【中国智能网联市场发展趋势报告】深入探讨了中国在智能网联汽车领域的最新进展和未来展望。这份报告由中国资深顾问Justin Hu撰写，旨在分析智能网联汽车的现状、市场趋势以及用户期望，同时也关注车企在发展车联...

考研复习-英语二真题考试题集-带答案

09-14

英语二考研真题复习资料，带答案版

2024中美独角兽公司发展分析报告.pdf

09-14

全球各大洲独角兽企业分布、中美独角兽企业对比（数量、估值、新增及退榜情况、行业分布、所在城市）、

C++ 中的异步编程模型是什么

09-14

在C++中，异步编程模型是处理并发任务、提高程序性能和响应性的关键技术。以下是C++中实现异步编程的几种主要方式：每种异步编程模型都有其适用场景和优缺点。选择合适的模型可以提高代码的可读性、可维护性和性能。随着C++标准的不断发展，异步编程模型也在不断进化，为开发者提供了更多的工具和选择。在实际开发中，应根据具体需求选择合适的异步编程模型。例如，对于简单的异步任务，回调函数可能是最直接的选择；而对于需要结构化错误处理和结果获取的复杂异步任务，std::async和std::future可能更合适；在需要高效资源管理的场景下，线程池是一个不错的选择；而对于需要编写大量异步代码的现代应用程序，协程提供了一种更简洁、更直观的解决方案。总之，C++中的异步编程模型是多核和高并发环境下提高程序性能的重要工具。通过合理使用这些模型，开发者可以构建出更高效、更可靠的软件系统。

正则表达式Regex是一种文本模式.docx

最新发布

09-14

正则表达式（Regular Expression，简称Regex或Regexp）是一种文本模式，包括普通字符（例如，a 到 z 之间的字母）和特殊字符（称为"元字符"）。正则表达式使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。正则表达式是强大的文本处理工具，广泛用于搜索、编辑或操作文本和数据。基本组成普通字符：大多数字符，包括所有大写和小写字母、所有数字、所有标点符号和一些其他符号，都是普通字符。正则表达式中的普通字符表示它们自身。例如，正则表达式test会匹配字符串"test"。特殊字符（元字符）：一些字符在正则表达式中具有特殊的意义，如^、$、.、*、+、?、{、}、[、]、|、\等。这些特殊字符用于表示在搜索文本时要匹配的一个或多个字符。例如，.匹配除换行符之外的任何单个字符。字符类：字符类允许你指定一组字符中的任何一个字符。例如，[abc]匹配"a"、"b"或"c"中的任意一个字符。你也可以使用范围，如[a-z]匹配任何小写字母。预定义字符类：正则表达式提供了一些预定义字符类，用于匹配常见的字符集合。例如，\d匹配任何数字（等价于[0-9]），\s匹配任

embedcpp-2021-03

10-06

embedcpp-2021-03是一个有关嵌入式C++编程的课程，于2021年3月举办。嵌入式C++编程是指在嵌入式系统中使用C++编程语言进行开发的一种方法。在嵌入式系统中，资源通常是有限的，例如处理器速度、内存容量和存储空间等。因此，使用C++编程语言可以提供更高的灵活性和效率，帮助开发人员充分利用有限的资源。C++在嵌入式系统中的应用范围广泛，例如物联网设备、汽车电子和工业自动化等领域。 embedcpp-2021-03课程旨在向学员介绍嵌入式C++编程的基础知识和技巧。课程内容通常包括以下方面： 1. C++语法和特性：介绍C++的基本语法、面向对象编程和泛型编程等概念，以及C++11、C++14和C++17的一些新特性。 2. 嵌入式系统概述：了解嵌入式系统的基本特点、硬件和软件组成，以及与传统桌面开发的区别。 3. 低级编程：学习如何与硬件交互，包括使用寄存器、配置外设和处理中断等。还可以介绍使用汇编语言优化性能的技巧。 4. 内存管理：探讨嵌入式系统中的内存管理技术，包括堆栈和堆的使用、动态内存分配和对象生命周期管理等。 5. 实时操作系统（RTOS）：介绍嵌入式系统中常用的实时操作系统，如FreeRTOS和µC/OS等，学习如何使用RTOS进行任务调度和资源管理。除了理论知识，embedcpp-2021-03课程通常还包括实际的项目练习，以帮助学员将所学知识应用于实际场景。通过该课程，学员可以了解嵌入式C++编程的基础概念和实践技巧，为嵌入式系统开发提供了一定的基础。