Metabase (CVE-2023-38646) 分析 发表于 2023-09-05 更新于 2023-09-09 分类于 漏洞分析 漏洞摘要Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松地连接到各种数据源,包括数据库、云服务和API,然后使用直观的界面进行数据查询、分析和可视化。7月的时候Metabase公布了一个漏洞,0.46.6.1 之前的版本存在漏洞,允许攻击者以服务器的权限级别在服务器上执行任意命令,CVE编号CVE-2023-38646。 这应该是我今年遇到比较有趣的漏洞了,前后跟了很长时间,看了大概四位师傅的不同的绕过手段,学习了不少新知识,最后发现另外一处0day,记录下来。 阅读全文 »
chrome headless disable-web-security安全问题 发表于 2023-08-13 分类于 漏洞分析 漏洞摘要chrome headless disable-web-security安全问题已经报告过很久了,不过似乎还没有得到重视,记录在这里吧。在浏览网上一些开源爬虫源码时注意到disable-web-security这个参数,disable-web-security是chrome headess的配置参数,开启的话会禁用同源策略。之前也曾了解过这个参数的安全问题,然而并没有实际去测试有什么风险,经过测试,发现风险比我预期要高。 阅读全文 »
GitLab 目录穿越漏洞 (CVE-2023-2825) 调试 发表于 2023-06-04 分类于 漏洞分析 漏洞摘要5月24号爆出一个GitLab 16.0.0的目录穿越漏洞,当天看了下漏洞简介一直不理解嵌套5层目录是指什么,直到小伙伴把gitlab环境搭建起来,看了下group创建才明白,原来group可以嵌套group,即可以在group中创建subgroup。明白了这个一切就简单了,当即测试出POC,期间也对gitlab做了些调试,这里记录下。 阅读全文 »
Redmine 4.2.0 任意文件读取漏洞 发表于 2021-07-17 分类于 漏洞挖掘 漏洞摘要Remine 4.2.0中的SCM允许使用git做版本管理,然而在repositories_controller.rb控制器中的diff函数中,没有对外部参数rev和rev_to做合适校验,导致攻击者可以注入一些git参数,达到读取任意文件的目的。发现漏洞后正值HW敏感时期,提交给官方修复后没有公开POC,不过也简单,这里记录下。 阅读全文 »
Ruby命令注入漏洞研究 发表于 2021-05-04 更新于 2021-05-05 分类于 漏洞分析 漏洞摘要前些天看到ruby又有命令注入漏洞,CVE-2021-31799,看了下原因比较简单,感慨这个漏洞我应该能提前发现,只要自己够仔细,然而呢,马大哈本性暴漏。复现这个漏洞比较简单,在目录下写一个|$(whoami)-tags的文件,然后执行rdoc命令,就能触发whoami命令,如图: 阅读全文 »
HTTP Request Smuggling in NodeJS 发表于 2021-05-02 更新于 2021-05-05 分类于 漏洞挖掘 漏洞摘要NodeJS 14.13.1 版本在处理HTTP请求头部时时,允许两个一样的头字段存在,并且在处理字段时,第一个字段的值为准,这样可以让我们发送两个Transfer-Encoding字段头,在某些条件下可以触发一个CL-TE型的HTTP Request Smuggling。漏洞提交到hackerone,得到确认,分配了一个CVE:CVE-2020-8287。 阅读全文 »
HTTP Request Smuggling in ruby webrick 发表于 2020-12-19 更新于 2021-05-02 分类于 漏洞挖掘 漏洞摘要webrick是ruby自带的一个http服务模块,支持Transfer-Encoding和Content-Length,但是在校验时,仅用了简单的正则校验,阅读代码后确认存在HTTP Request Smuggling,提交到hackerone,成功薅到一枚CVE:CVE-2020-25613 阅读全文 »
早前の研究 发表于 2017-12-01 更新于 2021-05-05 分类于 漏洞分析 漏洞链接 PHP 5.4.34 unserialize UAF exploit http://blog.knownsec.com/2016/06/php-5-4-34-unserialize-uaf-exploit/ Samba 3.0.37 EnumPrinters 堆内存溢出漏洞 http://blog.knownsec.com/2015/05/samba-3-0-37-enumprinters-memory-corruption/ Linux drm_legacy_lock_free 空指针引用bug分析 http://blog.knownsec.com/2015/09/linux-drm_legacy_lock_free-null-pointer-dereference-analysis/ PHP 7 ZEND_HASH_IF_FULL_DO_RESIZE Use After Free 漏洞分析 http://blog.knownsec.com/2015/08/php-7-zend_hash_if_full_do_resize-use-after-free-analysis/ ImageMagick popen_utf8命令注入 漏洞报告 http://blog.knownsec.com/2016/05/imagemagick-popen-remote-command-execution-vulnerability/ 华硕路由器9999端口远程命令执行研究报告 http://blog.knownsec.com/2015/01/report-of-asua-router-9999-port-remote-command-execution-v1/ DokuWiki fetch.php SSRF漏洞与tok安全验证绕过分析 https://paper.seebug.org/230/ Node.js CVE-2017-14849 漏洞分析 https://security.tencent.com/index.php/blog/msg/121