[文件读取]cuberite 文件读取 (CVE-2019-15516)
1.1漏洞描述
| 漏洞编号 | CVE-2019-15516 |
| 漏洞类型 | 文件上传 |
| 漏洞等级 | ⭐⭐⭐ |
| 漏洞环境 | VULFOCUS |
| 攻击方式 |
描述: Cuberite是一款使用C++语言编写的、轻量级、可扩展的多人游戏服务器。 Cuberite 2019-06-11之前版本中存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。
1.2漏洞等级
高危
1.3影响版本
Cuberite 2019-06-11
1.4漏洞复现
1.4.1.基础环境
| 靶场 | VULFOCUS |
| 工具 | BurpSuite |
1.4.2.前提
-
网站后台地址:/....//....//webadmin.ini
-
后台管理账密:
-
后台登录地址
1.5深度利用
1.5.1漏洞点
/....//....//webadmin.ini
查看网站密码
查看/tmp/passwd
拿到flag
flag-{bmh371cc719-11e3-4cd0-aab2-9378ea112a4c}
1.6漏洞挖掘
1.6.1指纹信息
1.7修复建议
-
升级
-
打补丁
-
上设备