Vulhub-AppWeb

AppWeb是Embedthis Software LLC公司负责开发维护的一个基于GPL开源协议的嵌入式Web Server。他使用C/C++来编写,能够运行在几乎先进所有流行的操作系统上。当然他最主要的应用场景还是为嵌入式设备提供Web Application容器。

AppWeb可以进行认证配置,其认证方式包括以下三种:

  • basic 传统HTTP基础认证
  • digest 改进版HTTP基础认证,认证成功后将使用Cookie来保存状态,而不用再传递Authorization头
  • form 表单认证

其7.0.3之前的版本中,对于digest和form两种认证方式,如果用户传入的密码为null(也就是没有传递密码参数),appweb将因为一个逻辑错误导致直接认证成功,并返回session。

打开靶场

java 复制代码
oot@localhost appweb]# ls
CVE-2018-8715
[root@localhost appweb]# cd CVE-2018-8715/

[root@localhost CVE-2018-8715]# docker compose up -d
[+] Running 6/6
 ✔ web 5 layers [⣿⣿⣿⣿⣿]      0B/0B      Pulled                                             60.5s 
   ✔ 419e7ae5bb1e Pull complete                                                             8.2s 
   ✔ 848839e0cd3b Pull complete                                                             6.3s 
   ✔ de30e8b35015 Pull complete                                                             2.9s 
   ✔ 2e66baab3c26 Pull complete                                                            11.8s 
   ✔ 9a1adbcb76ed Pull complete                                                            11.7s 
[+] Running 2/2
 ✔ Network cve-2018-8715_default  Created                                                   0.9s 
 ✔ Container cve-2018-8715-web-1  Started                                                   0.4s

正常访问是无法访问的

用bp抓登录的包

正常情况下访问是401

去除这些字段只留下admin,返回的cookie复制

Set-Cookie: -http-session-=2::http.session::4310db6ab97ca8c5842cf79d5bdb8e10; path=/;

刷新界面抓包,加入cookie

bp放包,关闭拦截,回到火狐浏览器点击取消登录,就能跳转了

相关推荐
一楼的猫2 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学2 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全
Web极客码2 小时前
跨国网络抖动下的 AI 爬虫流调优:我如何用 Claude 打造“智能退避”资讯清洗管道
网络·人工智能·爬虫
Kyrie6783 小时前
Januscape:潜伏 16 年的 KVM 虚拟机逃逸漏洞
安全·kvm
念何架构之路3 小时前
moby-http-api-server
网络·网络协议·http
namexingyun3 小时前
Scaling Law bug实战启示:从“虚胖“到“精瘦“的算力效率革命
开发语言·网络·人工智能·bug·ai编程
wtsolutions3 小时前
Excel-to-JSON本地化Excel插件发布 - 在Excel中安全离线转换数据
安全·json·excel
云栖梦泽在4 小时前
原生 IP、机房 IP、住宅 IP、广播 IP 有何不同?从网络身份到 ASN 识别的技术科普
网络·网络协议·tcp/ip·性能优化
AI创界者4 小时前
【实战演练】基于 Kali Linux 的自动化漏洞扫描与安全加固指南
网络·安全·web安全
听你说324 小时前
五新智能:以成套智能装备赋能全球工程建设
安全·创业创新