type
status
date
slug
summary
tags
category
icon
password

Supervisord XML-RPC 远程命令执行漏洞(CVE-2017-11610)

Supervisord 是一个用于 Unix 类操作系统的进程控制系统。
在 Supervisord 3.0.1,3.1.4,3.2.4,3.3.3 版本之前,在其 XML-RPC 接口中存在一个远程代码执行漏洞,攻击者可以通过特制的 XML-RPC 请求执行任意命令。

漏洞环境

环境启动后,访问http://your-ip:9001即可查看Supervisord的页面。

漏洞复现

构造如下恶意请求包,即可触发任意代码执行漏洞
也可直接刷新网页并抓包并发送到重放器
notion image
将请求模式修改为POST并将url路径修改为/RPC2
notion image
在下方添加恶意body
notion image
在靶机中即可发现创建文件命令执行成功
notion image
相关文章
Kioptrix Level 2入门级详细教程
Lazy loaded image
Kioptrix Level 1 古老的 Apache&KVM1靶场练习
Lazy loaded image
Drupal Core 8 PECL YAML反序列化远程代码执行漏洞(CVE-2017-6920)
Lazy loaded image
OpenPrinting Cups-Browsed PDD FoomaticRIPCommandLine 参数导致远程命令执行漏洞(CVE-2024-47177)
Lazy loaded image
Couchdb 任意命令执行漏洞(CVE-2017-12636)
Lazy loaded image
Apache CXF Aegis DataBinding 服务端请求伪造漏洞 (CVE-2024-28752)
Lazy loaded image
Jetbrains TeamCity 认证绕过导致远程命令执行漏洞(CVE-2023-42793Samba 远程命令执行漏洞(CVE-2017-7494)
Loading...
brown
brown
一个普通的干饭人🍚
公告
🎉欢迎光临我的个人博客!🎉
-- 感谢您的支持 ---
👏您的建议对我万分宝贵👏
 
目录
0%