Привет.

Вот очередная сводка результатов изучения
безопасности cgi скриптов на серверах. Ну все по порядку. Для начала расскажу об
уязвимом скрипте navobjs. Этот скрипт создан для облегчения жизни админов. Его задача - при
определенном запросе показывать пользователю
нужные файлы. Уязвимость заключается в том, что при
передаче скрипту нужных путей вы сможете просматривать интересующие вас
любые файлы на диске жертвы. Для этого вам нужно всего лишь сделать
такой запрос:

server.com/navobjs?&template=../../../../../../..
/../../../../../../../../etc/passwd

Я конечно понимаю, что сейчас мало кто отважится
оставить пароли в этом файле... ну все же...

И вторая уязвимость о которой я хотел рассказать, это уязвимость в скрипте из пакета Gmail под названием
generic_mail.cgi. Правильно используя ошибку вы сможете выполнять команды на удаленном сервере!

Название уязвимости: Gmail (Generic Mail)

Эксплоит:

server.com/gmail/generic_mail.cgi?template=;команда|

Уязвимые версии: Gmail 1.0

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии