Druid CVE-2021-36749

背景:
由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。

漏洞编号:
CVE-2021-36749

影响版本:

复现步骤:
1,打开漏洞环境vulfocus

2,主界面依次点击,Load data > HTTP(s) > Connect Data > URIs


3,利用file://协议进行读取

4,得到flag

posted @ 2022-01-10 10:33  Colin.B  阅读(99)  评论(0编辑  收藏  举报