Appweb(CVE-2018-8715)漏洞复现

时间：2019-07-16 21:26:22 阅读：362 评论：0 收藏：0 [点我收藏+]

漏洞背景：
Appweb是一个嵌入式HTTP Web服务器，主要的设计思路是安全。这是直接集成到客户的应用和设备，便于开发和部署基于Web的应用程序和设备。它迅速（每秒处理3500多要求）而紧凑，其中包括支持动态网页制作，服务器端嵌入式脚本过程中的CGI ，可加载模块的SSL ，摘要式身份验证，虚拟主机， Apache样式配置，日志记录，单和多线程应用程序。它提供了大量的文档和示例。

漏洞复现：
1.访问自己的目标。
技术图片
2.获取用户名，这个就显现出此漏洞的局限性了。靶场里告诉了有一个账户是joshua。通过抓包软件拦截，添加以下HTTP 头信息后，发送数据包。
Authorization: Digest username=joshua

3.返回状态码为200后，获取HTTP 头信息中的session。
技术图片

4.通过抓包软件拦截，发送POST请求，添加session到HTTP 头信息和用户名后，发送数据包。

5.成了。