安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > WEB安全 > Cacti 远程SHELL测试失败

Cacti 远程SHELL测试失败

时间:2014-08-27来源:安云网 作者:网络点击:
Cacti是一款轮循数据库(RRD)工具,可帮助从数据库信息创建图形,有多个Linux版本。 Cacti多个跨站脚本和HTML注入漏洞 受影响系统: Cacti Cacti 0.8.7e 由于配置Cacti的WEB界面的权限设置过于宽松,cacti管理员可以以运行Cacti投票机制用户的

Cacti是一款轮循数据库(RRD)工具,可帮助从数据库信息创建图形,有多个Linux版本。 //copyright AnYun.ORG

 

//copyright AnYun.ORG

//内容来自安云网

  //安云网咨询系统

//内容来自安云网

  //内容来自安云网

Cacti多个跨站脚本和HTML注入漏洞

//本文来自安云网

受影响系统: 
  Cacti Cacti 0.8.7e //内容来自安云网

//copyright AnYun.ORG

由于配置Cacti的WEB界面的权限设置过于宽松,cacti管理员可以以运行Cacti投票机制用户的权限(通常为非特权用户)在系统上执行任意命令。
例如,可以通过更改Linux - Get Memory Usage的Data Input Method在Cacti系统上生成后门或远程shell。将Input String设置为nohup nc -l -p 6666 -n -e /bin/sh &
就会在调用这个处理器的时候生成远程可访问的shell。

//内容来自安云网

以下是测试截图。 //内容来自AnYun.ORG

主要信息窗 //安云网咨询系统

 

//内容来自安云网

//本文来自安云网

 

//内容来自安云网

设备运行状态窗

//安云网咨询系统

  //内容来自安云网

 

//安云网咨询系统

创建用户 //内容来自安云网

  //安云网,anyun.org

//安云网咨询系统

 修改Linux - Get Memory Usage 框里的指令

//copyright AnYun.ORG

  //安云网,anyun.org

//ANYUN.ORG

 

//本文来自安云网

通过服务器嗅探获得了Cacti的登陆用户和口令,对应版本GOOGLE了一下,说是可以通过Get Memory Usage做远程SHELL,兴冲冲就测试了一下,结果失败,希望成功过的大牛们指点一下。在CMD连接SHELL失败。。。 //copyright AnYun.ORG


//安云网,anyun.org

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容