[文件读取]rails 任意文件读取 (CVE-2019-5418)

1.1漏洞描述

漏洞编号 CVE-2019-5418
漏洞类型 文件读取
漏洞等级 ⭐⭐⭐
漏洞环境 VULFOCUS
攻击方式

1.2漏洞等级

高危

1.3影响版本

Accept 5.2.2

1.4漏洞复现

1.4.1.基础环境

靶场 VULFOCUS
工具 Burpsuite

1.4.2.前提

  • 网站后台地址:/chybeta

  • 后台管理账密:

  • 后台登录地址 

1.5深度利用

1.5.1漏洞点

通过传入Accept: ../../../../../../../../etc/passwd{{

        1.访问/chybeta目录抓包。

[文件读取]rails 任意文件读取 (CVE-2019-5418)_第1张图片

查看/tmp/flag

[文件读取]rails 任意文件读取 (CVE-2019-5418)_第2张图片

拿到flag

flag-{bmh13aff59c-0d16-4bf3-a30c-8cfabc2ff6d4}

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级

  • 打补丁

  • 上设备

你可能感兴趣的:(文件读取,漏洞库,安全,网络,web安全)