漏洞详情 sudo错误的处理了某些用户id.攻击者可以以根用户身份执行任意命令。 系统平台 kali-Linux 软件版本 1.8.27 sudo作用 非root用户不需要知道root密码,就可以执行root才能执行的命令。 首先新建test用户 使用visudo命令添加规则,使得test用户可以执 ...
分类:
其他好文 时间:
2019-10-16 00:22:11
阅读次数:
89
1:查看测试机sudo版本号,确认是受影响版本。 2:创建账号test 3:进入/etc,备份一下sudoers到/root,然后修改sudoers内容,添加: test ALL=(ALL,!root) /bin/bash test ALL=(ALL,!root) /bin/bash 4:登录tes ...
分类:
系统相关 时间:
2019-10-15 18:58:08
阅读次数:
105
漏洞描述 2019年10月14日,CVE官方发布了CVE 2019 14287的漏洞预警。通过特定payload,用户可提升至root权限。 利用前提 1. sudo v ...
分类:
其他好文 时间:
2019-10-15 17:39:52
阅读次数:
80
1 漏洞介绍 1.1 代号 - Lotus Blossom行动 漏洞利用率很高 从2012 —2015或者说最近都还在使用 CVE-2012-0158 Lotus Blossom--莲花: 描述了对东南亚各国政府和军事组织的持续网络间谍活动。该报告公开了目标、工具和攻击技术,并提供了关于莲花营销活动 ...
分类:
其他好文 时间:
2019-10-14 10:48:46
阅读次数:
149
D-Link D-Link DSL-2750B任意命令执行漏洞 CVE-2019-16920 影响范围 DIR-655 DIR-866L DIR-652 DHP-1565 ...
分类:
其他好文 时间:
2019-10-12 13:14:26
阅读次数:
76
Joomla CVE-2015-8562 RCE ...
分类:
Web程序 时间:
2019-10-12 12:50:23
阅读次数:
108
因为比较好玩所以有此篇=>CVE-2018-20250复现文章。我顶,整了我3个小时。win10虚拟机临时下载安装/(ㄒoㄒ)/~~ ...
OpenSSL1.0.1版本 Heartbleed漏洞是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。 ...
分类:
其他好文 时间:
2019-10-11 00:39:26
阅读次数:
139
CVE:CVE-2007-2447 原理: Samba中负责在SAM数据库更新用户口令的代码未经过滤便将用户输入传输给了/bin/sh。如果在调用smb.conf中定义的外部脚本时,通过对/bin/sh的MS-RPC调用提交了恶意输入的话,就可能允许攻击者以nobody用户的权限执行任意命令。 漏洞... ...
分类:
系统相关 时间:
2019-10-09 17:44:04
阅读次数:
193
一、背景 2017年9月19日,Apache Tomcat官方确认并修复了两个高危漏洞,其中就有远程代码执行漏洞(CVE-2017-12615),当存在漏洞的Tomcat运行在Windows主机上,且启用了HTTP PUT请求方法,恶意访问者通过构造的请求向服务器上传包含任意diam的JSP文件,造 ...
分类:
其他好文 时间:
2019-10-01 16:09:00
阅读次数:
118
