Vulhub——adminer

文章目錄

  • 一、CVE-2021-21311(SSRF)
  • 二、CVE-2021-43008(遠程文件讀取)

一、CVE-2021-21311(SSRF)

Adminer是一個PHP編寫的開源數據庫管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等數據庫。在其4.0.0到4.7.9版本之間,連接 ElasticSearch 和 ClickHouse 數據庫時存在一處服務端請求偽造漏洞(SSRF)。

訪問192.168.92.6:8080,即可查看到Adminer的登錄頁面。
搭建http服務:

python -m http.server 8888

然后在系統選擇ElasticSearch服務器192.168.92.6:8888
在這里插入圖片描述
登錄之后,即可看到SSRF觸發成功。
在這里插入圖片描述

二、CVE-2021-43008(遠程文件讀取)

Adminer是一個PHP編寫的開源數據庫管理工具,支持MySQL、MariaDB、PostgreSQL、SQLite、MS SQL、Oracle、Elasticsearch、MongoDB等數據庫。在其版本1.12.0到4.6.2之間存在一處因為MySQL LOAD DATA LOCAL導致的文件讀取漏洞。

使用mysql-fake-server啟動一個惡意的MySQL服務器。在Adminer登錄頁面中填寫惡意服務地址和用戶名fileread_/etc/passwd
在這里插入圖片描述
在這里插入圖片描述
在這里插入圖片描述
192.168.92.6主機上的/etc/passwd會被保存在fake-server-files文件夾下。

在這里插入圖片描述
在這里插入圖片描述
目標網站一旦通過Adminer訪問偽造的mysql服務器,就會造成任意文件讀取。

本文來自互聯網用戶投稿,該文觀點僅代表作者本人,不代表本站立場。本站僅提供信息存儲空間服務,不擁有所有權,不承擔相關法律責任。
如若轉載,請注明出處:http://www.pswp.cn/web/15962.shtml
繁體地址,請注明出處:http://hk.pswp.cn/web/15962.shtml
英文地址,請注明出處:http://en.pswp.cn/web/15962.shtml

如若內容造成侵權/違法違規/事實不符,請聯系多彩編程網進行投訴反饋email:809451989@qq.com,一經查實,立即刪除!

相關文章

如何在WRF模型中更好地設置這些海洋物理參數以提高模擬精度?

如何在WRF模型中更好地設置這些海洋物理參數以提高模擬精度?

在WRF(Weather Research and Forecasting)模型中正確設置海洠物理參數是提高模擬精度的關鍵,特別是當模擬涉及到海洋和大氣的相互作用時。以下是一些提高模擬精度的策略和建議: 1. 理解模擬的地區和目標 在進行參數設置之前&…
閱讀更多...
基于SpringBoot+Vue的人事管理系統

基于SpringBoot+Vue的人事管理系統

引言 目前,人事管理的系統大都是CS架構的大型系統,很少有面向機關,事業單位內部的基于BS架構的微型人事系統,因此.開發一個基于BS架構的人事信息管理系統是非常必要的.但是基于BS架構的人事系統對于安全是一個大的考驗點.在人事信息系統中,功能需簡單清晰,可操作性強,其次安全…
閱讀更多...
使用paddlepaddle框架構建ViT用于CIFAR10圖像分類

使用paddlepaddle框架構建ViT用于CIFAR10圖像分類

使用paddlepaddle框架構建ViT用于CIFAR10圖像分類 硬件環境:GPU (1 * NVIDIA T4) 運行時間:一個epoch大概一分鐘 import paddle import time import paddle.nn as nn import paddle.nn.functional as F import paddle.vision.transforms as transforms…
閱讀更多...
CCF-GESP 等級考試 2023年3月認證C++一級真題解析

CCF-GESP 等級考試 2023年3月認證C++一級真題解析

2024年03月真題 一、單選題(每題2分,共30分) 第 1 題 以下不屬于計算機輸入設備的有( )。 A. 鍵盤B. 音箱C. 鼠標D. 傳感器 正確答案:B. 音箱 解析: A. 鍵盤:鍵盤是輸入設備。B. …
閱讀更多...
第六節:帶你全面理解vue3 淺層響應式API: shallowRef, shallowReactive, shallowReadonly

第六節:帶你全面理解vue3 淺層響應式API: shallowRef, shallowReactive, shallowReadonly

前言 前面兩章,給大家講解了vue3中ref, reactive,readonly創建響應式數據的API, 以及常用的計算屬性computed, 偵聽器watch,watchEffect的使用 其中reactive, ref, readonly創建的響應式數據都是深層響應. 而本章主要給大家講解以上三個API 對應的創建淺層響應式數據的 API,…
閱讀更多...
Java面試題:Executor框架在Java并發編程中扮演什么角色?如何使用它?

Java面試題:Executor框架在Java并發編程中扮演什么角色?如何使用它?

在Java并發編程中,Executor框架扮演著核心角色,它提供了一種高級的、線程安全的機制來異步執行任務。Executor框架的主要目的是將任務的提交與任務的執行分離,從而簡化了多線程編程的復雜性。 Executor框架的角色: 任務與線程分離…
閱讀更多...
持續總結中!2024年面試必問 20 道 Redis面試題(八)

持續總結中!2024年面試必問 20 道 Redis面試題(八)

上一篇地址:持續總結中!2024年面試必問 20 道 Redis面試題(七)-CSDN博客 十五、使用過Redis做異步隊列么,你是怎么用的? Redis作為一個高性能的鍵值存儲系統,非常適合用來實現異步隊列。異步隊…
閱讀更多...
【STM32單片機】----實現LED燈閃爍實戰

【STM32單片機】----實現LED燈閃爍實戰

🎩 歡迎來到技術探索的奇幻世界👨?💻 📜 個人主頁:一倫明悅-CSDN博客 ?🏻 作者簡介: C軟件開發、Python機器學習愛好者 🗣? 互動與支持:💬評論 &…
閱讀更多...
【機器學習-23】關聯規則(Apriori)算法:介紹、應用與實現

【機器學習-23】關聯規則(Apriori)算法:介紹、應用與實現

在現代數據分析中,經常需要從大規模數據集中挖掘有用的信息。關聯規則挖掘是一種強大的技術,可以揭示數據中的隱藏關系和規律。本文將介紹如何使用Python進行關聯規則挖掘,以幫助您發現數據中的有趣模式。 一、引言 1. 簡要介紹關聯規則學習…
閱讀更多...
[處理器芯片]-5 超標量CPU實現之ALU

[處理器芯片]-5 超標量CPU實現之ALU

ALU(Arithmetic Logic Unit,算術邏輯單元),是CPU執行單元中最主要的組成部分。 1 主要功能 算術運算:執行加法、減法、乘法和除法等算術運算。 邏輯運算:執行與、或、非、異或等邏輯運算。 移位運算&am…
閱讀更多...
動態路由實驗—OSPF

動態路由實驗—OSPF

動態路由協議實驗-------OSPF 鏈路狀態路由選擇協議又被稱為最短路徑優先協議&#xff0c;它基SPF&#xff08;shortest path first &#xff09;算法 實驗要求&#xff1a;各個PC之間能夠互通 1.四臺PC配置如下 PC1 PC2 PC3 PC4 2.配置各個交換機的口子的IP R1 <HUAWE…
閱讀更多...
Room注解無效原因

Room注解無效原因

在Android項目中&#xff0c;如果父模塊使用Kotlin&#xff0c;而子模塊用Java編寫&#xff0c;并且在子模塊中使用了Room庫&#xff0c;那么你會發現需要使用kapt而不是annotationProcessor來處理Room注解。這里有幾個原因和背景知識&#xff1a; 1. 項目配置的影響 父模塊的…
閱讀更多...
spiderfoot一鍵掃描IP信息(KALI工具系列九)

spiderfoot一鍵掃描IP信息(KALI工具系列九)

目錄 1、KALI LINUX簡介 2、spiderfoot工具簡介 3、在KALI中使用spiderfoot 3.1 目標主機IP&#xff08;win&#xff09; 3.2 KALI的IP 4、命令示例 4.1 web訪問 4.2 掃描并進行DNS解析 4.3 全面掃描 5、總結 1、KALI LINUX簡介 Kali Linux 是一個功能強大、多才多…
閱讀更多...
YOLOv8+PyQt:實時檢測(攝像頭、視頻)

YOLOv8+PyQt:實時檢測(攝像頭、視頻)

1.YOLO&#xff1a;CPU實時檢測&#xff08;攝像頭、視頻&#xff09;https://blog.csdn.net/qq_45445740/article/details/106557451 2.YOLOv8PyQt&#xff0c;實現攝像頭或視頻的實時檢測 需要安裝 PySide6 和 ultralytics pip install PySide6 pip install ultralyticsfr…
閱讀更多...
基于docxtpl的模板生成Word

基于docxtpl的模板生成Word

docxtpl是一個用于生成Microsoft Word文檔的模板引擎庫。它結合了docx模塊和Jinja2模板引擎&#xff0c;使用戶能夠使用Microsoft Word模板文件并在其中填充動態數據。這個庫提供了一種方便的方式來生成個性化的Word文檔&#xff0c;并支持條件語句、循環語句和變量等控制結構&…
閱讀更多...
如何在 Elasticsearch 中選擇精確 kNN 搜索和近似 kNN 搜索

如何在 Elasticsearch 中選擇精確 kNN 搜索和近似 kNN 搜索

作者&#xff1a;來自 Elastic Carlos Delgado kNN 是什么&#xff1f; 語義搜索&#xff08;semantic search&#xff09;是相關性排名的強大工具。 它使你不僅可以使用關鍵字&#xff0c;還可以考慮文檔和查詢的實際含義。 語義搜索基于向量搜索&#xff08;vector search&…
閱讀更多...
Angular Ivy:新渲染引擎的性能提升與優化

Angular Ivy:新渲染引擎的性能提升與優化

Angular Ivy是Angular 9及更高版本中引入的默認渲染引擎&#xff0c;它取代了以前的View Engine。Ivy的目標是提高Angular的性能、減少包大小和提高開發者的生產力。 1. AOT編譯的改進&#xff1a; 在Ivy中&#xff0c;Angular使用了更早的AOT&#xff08;Ahead-of-Time&…
閱讀更多...
在AnolisOS8.9系統安裝docker-compose

在AnolisOS8.9系統安裝docker-compose

在AnolisOS8.9系統安裝docker-compose 下載docker-compose之前請先確保docker已經安裝完&#xff0c;教程可以參考 在阿里Anolis OS 8.9龍蜥操作系統安裝docker 下載最新版的docker-compose文件 sudo curl -L https://github.com/docker/compose/releases/download/v2.21.0…
閱讀更多...
大數據工具之HIVE-參數調優,調度亂碼(二)

大數據工具之HIVE-參數調優,調度亂碼(二)

一、調度亂碼 在利用HUE工具,搭建WORKFLOW流程的過程中,如果直接執行hivesql數據正常,不會出現亂碼現象,如果利用WORKFLOW搭建的流程,進行數據的拉取,會出現數據中文亂碼現象,這些亂碼主要是由于select 中的硬編碼中文導致出現的現象 具體現象如下: select case when …
閱讀更多...
百度 提前批 國際化廣告部 (深圳-機器學習/數據挖掘/自然語言處理工程師) 一面+二面面經

百度 提前批 國際化廣告部 (深圳-機器學習/數據挖掘/自然語言處理工程師) 一面+二面面經

文章目錄 0、面試情況1、一面1.1、簡歷上的項目介紹了個遍1.2、dbscan原理1.3、為什么梯度的負方向就是損失函數下降最快的方向&#xff1f;1.4、bn原理&#xff0c;為什么bn能解決過擬合&#xff0c;1.5、auc原理&#xff0c;為什么ctr或你的廣告推薦里用auc指標&#xff1f;1…
閱讀更多...
最新文章

Copyright @ 2022~2023