07 2023 档案
CVE-2019-10758(mongo-express 远程代码执行漏洞)
摘要:1.漏洞描述&环境搭建 mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。 环境搭建: 下载vulhub项目切换到CVE-2019
MinIO集群模式信息泄露漏洞 CVE-2023-28432
摘要:1.漏洞描述&环境搭建 MinIO是一个开源对象存储系统。 在其RELEASE.2023-03-20T20-16-18Z版本(不含)以前,集群模式部署下存在一处信息泄露漏洞,攻击者可以通过发送一个POST数据包获取进程所有的环境变量,其中就包含账号密码MINIO_SECRET_KEY和MINIO_R
Spring漏洞复现(全漏洞版本)
摘要:0x01:CVE-2017-4971(Spring WebFlow 远程代码执行漏洞) 1.漏洞描述&环境搭建 Spring WebFlow 是一个适用于开发基于流程的应用程序的框架(如购物逻辑),可以将流程的定义和实现流程行为的类和视图分离开来。在其 2.4.x 版本中,如果我们控制了数据绑定时的
GitLab漏洞复现(CVE-2016-9086&CVE-2021-22205)
摘要:0x01:CVE-2016-9086(任意文件读取漏洞) 1.漏洞描述&环境搭建 GitLab是一款Ruby开发的Git项目管理平台。在8.9版本后添加的“导出、导入项目”功能,因为没有处理好压缩包中的软连接,已登录用户可以利用这个功能读取服务器上的任意文件。 环境搭建:下载好github项目然后切
ActiveMQ漏洞复现(CVE-2015-5254&CVE-2016-3088)
摘要:0x01:CVE-2015-5254(ActiveMQ 反序列化漏洞) 1.漏洞描述&环境搭建 Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持Java消息服务,集群,Spring Framework等。Apache ActiveMQ 5.13
