MinIO未授權SSRF漏洞(CVE-2021-21287)
MinIO未授權SSRF漏洞(CVE-2021-21287) 一、漏洞簡介 由於MinIO組件中LoginSTS接口設計不當,導致存在服務器端請求偽造漏洞 攻擊者可以通過構造URL來發起服務器端請求偽造攻擊成功利用此漏洞的攻擊者能夠通過利用服務器上的功能來讀取、更新內部資源或執行 ...
原文:MinIO未授權SSRF漏洞(CVE-2021-21287)漏洞復現
測試環境Centos . 一 啟用Docker API 打開配置文件找到 ExecStart usr bin dockerd 重啟 查看端口是否啟用 訪問一下 如果有結果說明是成功的。 Docker 安裝minio docker compose.yml 啟動 啟動之后需要等等。大概一分鍾左右。才能訪問 測試一下SSRF 可以導致SSRF 那么添加一個DockerFile 通過API來進行創建容器 ...
2021-02-19 16:33 0 1174 推薦指數:
相關推薦
Jira未授權SSRF漏洞復現(CVE-2019-8451)
0x00 漏洞背景 Jira的/plugins/servlet/gadgets/makeRequest資源存在SSRF漏洞,原因在於JiraWhitelist這個類的邏輯缺陷,成功利用此漏洞的遠程攻擊者可以以Jira服務端的身份訪問內網資源。經分析,此漏洞無需任何憑據即可觸發 ...
【漏洞復現】CVE-2021-22205 GitLab 未授權RCE
0x00 漏洞簡介: 漏洞出來第一時間,聽漏洞澮測的朋友傳來的情報,就及時給了POC,但一直沒復現,只是簡單看了文章,提到需要可以注冊用戶才能進行攻擊,然后就感覺挺雞肋,沒有再繼續看。 恰巧好基友濤子給我發來他復現的文章,看了看exp,感覺並沒那么雞肋,相反可以通過未授權進行權限的獲取 ...
(CVE-2019-8451)Atlassian Jira 未授權SSRF漏洞復現
一、簡介 JIRA是Atlassian公司出品的項目與事務跟蹤工具,被廣泛應用於缺陷跟蹤、客戶服務、需求收集、流程審批、任務跟蹤、項目跟蹤和敏捷管理等工作領域。 二、漏洞描述 Jira的/plugins/servlet/gadgets/makeRequest資源存在SSRF漏洞,原因 ...
CVE-2021-22214 Gitlab API未授權SSRF復現
簡介: GitLab是由GitLabInc.開發,使用MIT許可證的基於網絡的Git倉庫管理工具,具有issue跟蹤功能。它使用Git作為代碼管理工具,並在此基礎上搭建起來的web服務。 漏洞概述: 編號:CVE-2021-22214 Gitlab的CI lint API用於驗證 ...
(CVE-2021-22986) BIG-IP 未授權遠程代碼執行漏洞復現
漏洞描述 F5 BIG-IP 是美國 F5 公司的一款集成了網絡流量管理、應用程序安全管理、負載均衡等功能的應用交付平台。CVE-2021-22986 BIG-IP/BIG-IQ iControl REST 未授權遠程代碼執行漏洞 中,未經身份驗證的攻擊者可通過iControl REST接口 ...
CVE-2019-17671:Wordpress未授權訪問漏洞復現
0x00 簡介 WordPress是一款個人博客系統,並逐步演化成一款內容管理系統軟件,它是使用PHP語言和MySQL數據庫開發的,用戶可以在支持 PHP 和 MySQL數據庫的服務器上使用自己的博客。 0x01 漏洞概述 該漏洞源於程序沒有正確處理靜態查詢。攻擊者可利用該漏洞未經認證查看 ...
CVE-2019-17671:Wordpress未授權訪問漏洞復現
CVE-2019-17671:Wordpress未授權訪問漏洞復現 0x00 簡介 WordPress是一款個人博客系統,並逐步演化成一款內容管理系統軟件,它是使用PHP語言和MySQL數據庫開發的,用戶可以在支持 PHP 和 MySQL數據庫的服務器上使用自己的博客。 0x01 漏洞概述 ...