Supervisord 远程命令执行漏洞(CVE-2017-11610)

最新推荐文章于 2023-06-07 18:58:32 发布
最新推荐文章于 2023-06-07 18:58:32 发布
阅读量698 收藏 1
点赞数
分类专栏: 漏洞 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51387754/article/details/125117317
版权
本文详细介绍了Supervisord的远程命令执行漏洞(CVE-2017-11610),该漏洞允许攻击者通过利用Supervisord的API执行任意命令。文章讨论了运行环境的设置,如何测试漏洞,并提及了@Ricter提出的利用log文件回显命令结果的方法。
摘要由CSDN通过智能技术生成

Supervisord 远程命令执行漏洞(CVE-2017-11610)

Supervisord是一款Python开发,用于管理后台应用(服务)的工具,其角色类似于Linux自带的Systemd。
它相比Systemd有几个特点:

配置比较简单
一个简单的第三方应用,与系统没有耦合
提供HTTP API,支持远程操作

Supervisord的架构分为Server和Client,Server以一个服务的形式,跑在系统后台,而Client是一个命令行工具,其实就是根据用户的要求,调用Server提供的API,执行一些工作。

运行环境

docker-compose build

在这里插入图片描述在这里插入图片描述
出现下列才算成功

Successfully built ea413f911658
Successfully tagged cve-2017-11610_web:latest

docker-compose up -d

在这里插入图片描述

环境启动后,访问http://your-ip:9001即可查看Supervisord的页面。
http://127.0.0.1:9001/

在这里插入图片描述

漏洞测试

在这里插入图片描述
进行修改直接执行任意命令:

POST /RPC2 HTTP/1.1
Host: 127.0.0.1:9001
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.
最低0.47元/天 解锁文章
GuiltyFet
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
supervisorctl http://127.0.0.1:9001 refused connection 问题解决
小橙子的笔记屋
04-23 1万+
当后台启动supervisord后,使用supervisorctl命令进行任务管理时, 发现报错: http://localhost:9001 refused connection 显示拒绝连接 问题原因分析: 因为supervisor通常有以下两种方式通信: 1、本地socket 2、http连接 在supervisor.conf配置文件中,启用socket连接,注释http方式,supervisorctl配置项也使用unix socket [unix_http_server] file=/var/run
buuctf [Supervisor]CVE-2017-11610
qq_1873822的博客
03-28 270
漏洞描述 Supervisor是一套进程控制系统,用于监视和控制类Unix系统上的进程。XML-RPC server是其中的一个XML-RPC服务器Supervisor中的XML-RPC服务器存在安全漏洞远程攻击者可借助特制的XML-RPC请求利用该漏洞执行任意命令。 https://blog.csdn.net/qq_37964989/article/details/89454076 漏洞影响 supervisor 3.0.1之前的版本,3.1.4之前的3.1.x版本,3.2.4之前的3.2.x版本,
supervisor安装配置以及常见的错误
热门推荐
qq_38234594的博客
05-11 1万+
一、安装: liunx: 1 - 安装 setuptools (python2) yum install python-setuptools 2 - 安装 supervisor (只支持python2) easy_install或者pip安装,注意supervisor当前只有python2支持的版本。 pip install supervisor Mac: 安装:brew install supe...
漏洞公告】CVE-2017-11610:Supervisord 远程命令执行漏洞
CS13522431352的博客
08-09 675
Supervisord是一款由Python语言开发,用于管理后台应用(服务)的工具,方便运维人员使用图形化界面进行管理。 近期,Supervisord曝出了一个需认证的远程命令执行漏洞CVE-2017-11610),通过POST请求Supervisord管理界面恶意数据,可以获取服务器操作权限,存在严重的安全风险。
Python-基于ssh秘钥supervisord的发布系统
08-10
标题中的“Python-基于ssh秘钥supervisord的发布系统”揭示了这是一个使用Python语言构建的自动化部署方案,它依赖于SSH密钥对进行安全的身份验证,并利用supervisord来管理和监控服务进程。在中小公司环境中,这样...
supervisord命令 配置后台服务/常驻进程的进程工具
01-09
语法格式: supervisord [参数] 常用参数: status 查看程序状态 start 启动程序 stop 关闭程序 update 重启配置文件修改过的程序 参考实例 查看进程运行状态: [root@linuxcool ~]# supervisorctl ...
docker-supervisord-monitor:Docker Supervisord 监视器
06-20
通过`docker-supervisord-monitor-master`这个项目,我们可以获取一个示例实现,它可能包含了设置和使用Docker Supervisord监视器所需的所有文件和脚本。这些文件可能包括配置文件、启动脚本、日志处理逻辑等,帮助...
docker-supervisord-example:Docker Supervisord 示例
07-05
Docker Supervisord 示例首先准备docker镜像 docker build -t test-supervisor .启动一个新容器只需带来一组新的守护进程 docker run -d -p 9001:9001 test-supervisor就是这样! 通过以下方式检查您的守护进程: ...
laravel-lumen-docker:LaravelLumen Docker支架
05-22
官方Docker镜像)目录结构 +-- src <project>+-- resources| +-- default| +-- nginx.conf| +-- supervisord.conf| +-- www.conf+-- .gitignore+-- Dockerfile+-- docker-compose.yml+-- readme.md 设定说明先决条件...
supervisor常见报错问题处理及使用教程
weixin_yuanweiyaonie的博客
11-17 6033
Supervisor 是用Python开发的一套通用的进程管理程序,能将一个普通的命令行进程变为后台daemon,并监控进程状态,异常退出时能自动重启。 官网介绍Supervisor已经过测试,可以在Linux(Ubuntu 9.10),Mac OS X(10.4 / 10.5 / 10.6)和Solaris(10 for Intel)和FreeBSD 6.1上运行。它可能在大多数UNIX系统上都能正常工作。在任何版本的Windows下,Supervisor 都不会运行。Supervisor 可以使用Pyt
Vulhub Supervisord 远程命令执行漏洞复现
weixin_53696027的博客
06-07 272
Vulhub Supervisord 远程命令执行漏洞复现
python supervisord 远程命令执行漏洞CVE-2017-11610
whatday的专栏
06-27 754
Supervisord Supervisord是一款Python开发,用于管理后台应用(服务)的工具,其角色类似于Linux自带的Systemd。 我觉得它相比Systemd有几个特点: 配置比较简单 一个简单的第三方应用,与系统没有耦合 提供HTTP API,支持远程操作 所以,我之前把他用来跑一些Web应用。 Supervisord的架构分为Server和Client,Server以一个服务的形式,跑在系统后台,而Client是一个命令行工具,其实就是根据用户的要求,调用Server提供的A
supervisord -c /etc/supervisord.conf
最新发布
01-06
supervisord -c /etc/supervisord.conf是一个命令,用于启动supervisord进程,并指定配置文件为/etc/supervisord.conf。这个命令会根据配置文件中的设置来管理和监控各个进程。 以下是使用supervisord -c /etc/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

GuiltyFet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值