Ethan's Blog

Ethan's Blog

Risk,opportunity,innovation

RoarCTF2019 web writeup

前言

周末空闲打了嘶吼ctf,被虐了一批,大佬们太强了,最后只能勉强苟个第8,因为题目质量还不错,所以写个web的writeup。

Redis多维度角度下的攻击面

前言

Redis是一个使用C编写的、基于内存的键值对存储数据库。由于数据被存储在内存中,所以拥有极快的 数据存储和读取速度,很多应用场合都用到了Redis数据库。Redis出现了很多安全问题,今天我们就Redis的安全问题进行下探讨!

checklist整理~

前言

整理一个checklist用于渗透测试,持续待更。。。。。

Webmin(CVE-2019-15107)远程代码执行漏洞之backdoor探究

漏洞概述

Webmin是一个基于Web的界面,用于Unix的系统管理。使用任何支持表和表单的浏览器,可以设置用户帐户,Apache,DNS,文件共享等。

2019年8月10日,在pentest上发布了Webmin CVE-2019-15107远程代码执行漏洞。

该漏洞由于password_change.cgi文件在重置密码功能中存在一个代码执行漏洞,该漏洞允许恶意第三方在缺少输入验证的情况下而执行恶意代码,后经知道创宇404实验室发现,该漏洞的存在实则是sourceforge上某些版本的安装包和源码被植入了后门导致的。

avatar
Ethan
一花一世界,一木一森林