一、命令执行漏洞
1.介绍
命令执行(Command Execution)漏洞即可以直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限,服务器没有对执行的命令进行过滤。用户可以随意执行系统命令,属于高危漏洞
命令执行漏洞可能造成的原因是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行
2.漏洞复现
在vulfocus靶场中启动镜像,访问给出的ip+端口,在首页index后加入 .php?cmd=ls%20/tmp
可以执行cmd后的命令
3.产生原因
a.没有对用户输入进行过滤或者过滤不严
b.调用的第三方组件存在着此漏洞
c.系统漏洞造成的命令执行(如CVE-2014-6271 bash破壳漏洞)
二、目录浏览漏洞
1.介绍
目录浏览漏洞属于目录遍历漏洞的一种,由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,该漏洞可能由于开发者没有配置正确的默认首页文件,导致整个目录结构被罗列出来,暴露网站结构
2.漏洞复现
在vulfocus靶场中启动镜像,访问给出的地址
如图整个网站的结构被暴露,通过浏览能发现相关重要文件(flag)
3.产生原因
由于开发者没有配置正确的默认首页文件,导致整个目录结构被罗列出来,暴露网站结构
版权归原作者 栉风沐雪 所有, 如有侵权,请联系我们删除。