electron 远程命令执行漏洞(CVE-2018-1000006)
发布日期:2021-06-29 11:26:50
浏览次数:2
分类:技术文章
本文共 759 字,大约阅读时间需要 2 分钟。
声明
好好学习,天天向上
漏洞描述
Electron是由Github开发,用HTML,CSS和JavaScript来构建跨平台桌面应用程序的一个开源库。 Electron通过将Chromium和Node.js合并到同一个运行时环境中,并将其打包为Mac,Windows和Linux系统下的应用来实现这一目的。
在Windows下,如果Electron开发的应用注册了Protocol Handler(允许用户在浏览器中召起该应用),则可能出现一个参数注入漏洞,并最终导致在用户侧执行任意命令。
影响范围
1.8.2-beta.3 and earlier,
1.7.10 and earlier,
1.6.15 and earlie
复现过程
这里使用2.7.3与3.6.0版本
使用vulhub
/app/vulhub-master/electron/CVE-2018-1000006
使用docker启动
docker-compose run -e ARCH=64 --rm electrondocker-compose run --rm -p 8080:80 web
环境启动后,访问
http://192.168.239.129:8080
下载包
关闭镜像(每次用完后关闭)
docker-compose down
docker-compose常用命令
拉镜像(进入到vulhub某个具体目录后)
docker-compose builddocker-compose up -d
镜像查询(查到的第一列就是ID值)
docker ps -a
进入指定镜像里面(根据上一条查出的ID进入)
docker exec -it ID /bin/bash
关闭镜像(每次用完后关闭)
docker-compose down
转载地址:https://blog.csdn.net/zy15667076526/article/details/111414372 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
网站不错 人气很旺了 加油
[***.192.178.218]2024年04月22日 08时04分57秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
重磅!阿里推出国产开源的 JDK!
2019-04-29
为什么 SQL 语句不要过多的 join?
2019-04-29
Java8 的 Stream API 的确牛X,但性能究竟如何呢?
2019-04-29
SQL 语法速成手册
2019-04-29
干掉"FastJson"?
2019-04-29
RESTful API 设计规范
2019-04-29
Windows路由表透析
2019-04-29
7进位制加法、乘法表
2019-04-29
《我的记事本(模仿Windows记事本程序)》程序源码
2019-04-29
DOS批处理实现“自动FTP批量上传文件”功能
2019-04-29
压缩 20M 文件从 30 秒到 1 秒的优化过程
2019-04-29
拒绝接口裸奔!开放API接口签名验证!
2019-04-29
员工因上厕所时间超长被开除了,法院:超出正常生理需求范围!
2019-04-29
一个人竟然撸了一个网易云音乐云村
2019-04-29
图文介绍进程和线程的区别
2019-04-29
CTO怒了:“如果中台不省钱,我建个屁中台啊!”
2019-04-29
字节跳动《Vim 从入门到精通》火了,完整版 PDF 开放下载!
2019-04-29
卧槽!百度网盘 VIP 可以免费白嫖了!亲测有效!!!
2019-04-29
太酷了!滴滴的这个黑科技,我打 99.99 分!!!
2019-04-29
8 款好用超赞的 Google Chrome 插件,一直用,一直爽
2019-04-29