Redmine 4.2.0 任意文件读取漏洞 发表于 2021-07-17 分类于 漏洞挖掘 漏洞摘要Remine 4.2.0中的SCM允许使用git做版本管理,然而在repositories_controller.rb控制器中的diff函数中,没有对外部参数rev和rev_to做合适校验,导致攻击者可以注入一些git参数,达到读取任意文件的目的。发现漏洞后正值HW敏感时期,提交给官方修复后没有公开POC,不过也简单,这里记录下。 阅读全文 »
Ruby命令注入漏洞研究 发表于 2021-05-04 更新于 2021-05-05 分类于 漏洞分析 漏洞摘要前些天看到ruby又有命令注入漏洞,CVE-2021-31799,看了下原因比较简单,感慨这个漏洞我应该能提前发现,只要自己够仔细,然而呢,马大哈本性暴漏。复现这个漏洞比较简单,在目录下写一个|$(whoami)-tags的文件,然后执行rdoc命令,就能触发whoami命令,如图: 阅读全文 »
HTTP Request Smuggling in NodeJS 发表于 2021-05-02 更新于 2021-05-05 分类于 漏洞挖掘 漏洞摘要NodeJS 14.13.1 版本在处理HTTP请求头部时时,允许两个一样的头字段存在,并且在处理字段时,第一个字段的值为准,这样可以让我们发送两个Transfer-Encoding字段头,在某些条件下可以触发一个CL-TE型的HTTP Request Smuggling。漏洞提交到hackerone,得到确认,分配了一个CVE:CVE-2020-8287。 阅读全文 »
HTTP Request Smuggling in ruby webrick 发表于 2020-12-19 更新于 2021-05-02 分类于 漏洞挖掘 漏洞摘要webrick是ruby自带的一个http服务模块,支持Transfer-Encoding和Content-Length,但是在校验时,仅用了简单的正则校验,阅读代码后确认存在HTTP Request Smuggling,提交到hackerone,成功薅到一枚CVE:CVE-2020-25613 阅读全文 »
早前の研究 发表于 2017-12-01 更新于 2021-05-05 分类于 漏洞分析 漏洞链接 PHP 5.4.34 unserialize UAF exploit http://blog.knownsec.com/2016/06/php-5-4-34-unserialize-uaf-exploit/ Samba 3.0.37 EnumPrinters 堆内存溢出漏洞 http://blog.knownsec.com/2015/05/samba-3-0-37-enumprinters-memory-corruption/ Linux drm_legacy_lock_free 空指针引用bug分析 http://blog.knownsec.com/2015/09/linux-drm_legacy_lock_free-null-pointer-dereference-analysis/ PHP 7 ZEND_HASH_IF_FULL_DO_RESIZE Use After Free 漏洞分析 http://blog.knownsec.com/2015/08/php-7-zend_hash_if_full_do_resize-use-after-free-analysis/ ImageMagick popen_utf8命令注入 漏洞报告 http://blog.knownsec.com/2016/05/imagemagick-popen-remote-command-execution-vulnerability/ 华硕路由器9999端口远程命令执行研究报告 http://blog.knownsec.com/2015/01/report-of-asua-router-9999-port-remote-command-execution-v1/ DokuWiki fetch.php SSRF漏洞与tok安全验证绕过分析 https://paper.seebug.org/230/ Node.js CVE-2017-14849 漏洞分析 https://security.tencent.com/index.php/blog/msg/121