uWSGI漏洞复现(CVE-2018-7490)
在墨者学院看到⼀个很简单的⽬录穿越漏洞,使⽤..%2f代替../达到返回上⼀层的⽬的,这是过程:
背景介绍
uWSGI是⼀个Web服务器,它实现了WSGI协议、uwsgi、http等协议。Nginx中HttpUwsgiModule的作⽤是与uWSGI服务器进⾏交换。WSGI是⼀种Web服务器⽹关接⼝。它是⼀个Web服务器(如nginx,uWSGI等服务器)与web应⽤(如⽤Flask框架写的程序)通信的⼀种规范。
实训⽬标
1、学会根据漏洞编号查漏洞详情;
1、了解uWSGI CVE-2018-7490漏洞形成原理;
2、掌握uWSGI CVE-2018-7490漏洞利⽤⽅法;
解题⽅向
利⽤搜索⼯具了解CVE-2018-7490漏洞详情。再利⽤漏洞获取根⽬录的值。
开启靶场环境
/号被过滤,所以⽤%2f编码绕过
有点简单,以⾄于我试了⼀次就成功读取到key值。
>cve漏洞库

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。