[文件读取]cuberite 文件读取 (CVE-2019-15516)

1.1漏洞描述

|------|----------------|
| 漏洞编号 | CVE-2019-15516 |
| 漏洞类型 | 文件上传 |
| 漏洞等级 | ⭐⭐⭐ |
| 漏洞环境 | VULFOCUS |
| 攻击方式 | |

描述: Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。 Cuberite 2019-06-11之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。

1.2漏洞等级

高危

1.3影响版本

Cuberite 2019-06-11

1.4漏洞复现

1.4.1.基础环境

|----|-----------|
| 靶场 | VULFOCUS |
| 工具 | BurpSuite |
| | |

1.4.2.前提

  • 网站后台地址:/....//....//webadmin.ini

  • 后台管理账密:

  • 后台登录地址

1.5深度利用

1.5.1漏洞点

/....//....//webadmin.ini

查看网站密码

查看/tmp/passwd

拿到flag

flag-{bmh371cc719-11e3-4cd0-aab2-9378ea112a4c}

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级
  • 打补丁
  • 上设备
相关推荐
后院那片海20 分钟前
Web基础与HTTP协议
网络·网络协议·http
科技小E22 分钟前
EasyRTC嵌入式音视频通信SDK智能安防与监控系统的全方位升级解决方案
大数据·网络·人工智能·音视频
YJQ99671 小时前
Nginx防盗链及HTTPS:保护网站内容安全与加密传输
nginx·安全·https
程高兴2 小时前
高压直流输电MATLAB/simulink仿真模型+说明文档
开发语言·网络·matlab
AORO_BEIDOU2 小时前
遨游三防|30200mAh、双露营灯三防平板,见证堆料天花板
大数据·科技·安全·智能手机·电脑·信息与通信
Suckerbin3 小时前
第十三章-PHP MySQL扩展
mysql·安全·php
mooyuan天天4 小时前
Webug3.0通关笔记17 中级进阶(第01-05关)
web安全·文件包含·sql注入·webug靶场
开***能5 小时前
高炉项目中DeviceNET到Ethernet的转换奥秘
网络·网络协议·自动化
努力也学不会java5 小时前
【网络原理】 网络编程套接字
java·开发语言·网络·网络协议·tcp/ip·php
不老刘5 小时前
Uni-app网络请求AES加密解密实现
网络·uni-app