Perl CGI 可靠地读取 url_param 和 param - 腾讯云开发者社区

文章/答案/技术大牛

发布

【愚公系列】2023年06月攻防世界-Web（i-got-id-200）

服务器端部分是由Perl编写的脚本，它可以从客户端接收文件并将其保存到服务器上的指定位置。使用Perl文件上传脚本可以极大地简化文件上传的过程，提高效率和用户体验。...然而，当不正确地使用 ARGV 变量时，可能会导致安全漏洞，例如任意文件读取和任意命令执行。...猜想后台应该用了param()函数。 param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件，那么Perl会将传入的参数作为文件名读出来。...) { my $file= $cgi->param( 'file' ); while ( ) { print "$_"; } } 1、盲猜，flag在根目录下得到...试试发现确实使用了param()函数，然后我们利用bash来进行读取当前目录下的文件。

2630 0

攻防世界web进阶区i-got-id-200超详解

; use CGI; my $cgi= CGI->new; if ( $cgi->upload( 'file' ) ) { my $file= $cgi->param( 'file' );...我们盲猜一手，file.pl存在于var/www下使用perl的那个漏洞（大佬的）发现果然查看到了文件和大佬们猜测的不错 HTTP/1.1 200 OK Date: Mon, 10 Aug 2020.../usr/bin/perl use strict; use warnings; use CGI; my $cgi = CGI-...直接读取flag即可 ? ? 这个地方是读取目录的../ param() param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。...其实直接在url给出参数就相当于命令行传参那么，通过ARGV和url的参数就可以达到读取服务器上任意文件的目的构造远程执行代码这里空格需要用url编码转义，否则不符合http头部格式，不能随便加空格的

2.1K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

日志分析工具Awstats实战之Nginx篇

前言： Awstats 是在 SourceForge 上发展很快的一个基于 Perl 的 WEB 日志分析工具，一个充分的日志分析让 Awstats 显示您下列资料：访问次数、独特访客人数, 访问时间和上次访问...分析日志：运行后将这样的日志统计结果归档到一个awstats的数据库（纯文本）里；然后是输出：分两种形式 1、一种是通过cgi程序读取统计结果数据库输出； 2、一种是运行后台脚本将输出导出成静态文件...附件里面有三个文件qqhostinfo.pm，qqwry.pl和QQWry.Dat，我们将这三个文件统统都放到/usr/local/awstats/wwwroot/cgi-bin/plugins中。...CONTENT_LENGTH $content_length; fastcgi_param GATEWAY_INTERFACE CGI/1.1; ...分析日志：运行后将这样的日志统计结果归档到一个awstats的数据库（纯文本）里；然后是输出：分两种形式 1、一种是通过cgi程序读取统计结果数据库输出； 2、一种是运行后台脚本将输出导出成静态文件

1.4K2 0

搭建基于Nginx环境的Nagios监控系统

安装perl，CGI脚本是用perl实现的: yum install perl 编译安装perl脚本所需要调用的组件： tar zxvf FCGI-0.67.tar.gz cd FCGI-0.67...cd IO-All-0.39 perl Makefile.PL make make install 下载并配置可是实现CGI解析的脚本： cd /data/app/nginx/sbin/...cd /var/run chmod 777 nginx-fcgi.sock 创建登录nagios的用户账户和密码文件： cd /data/app/nagios/etc/ htpasswd -c...unix:/var/run/nginx-fcgi.sock; fastcgi_param SCRIPT_FILENAME /data/app/nagios/sbin$fastcgi_script_name...; fastcgi_index index.cgi; fastcgi_read_timeout 60; fastcgi_param REMOTE_USER $remote_user; include

9161 0

python项目练习六：使用CGI进行远程编辑

param> param-name>debugparam-name> param-value>0param-value...> param> param> param-name>cgiPathPrefixparam-name> param-value...>WEB-INF/cgiparam-value> param> param> param-name>executableparam-name...> param-value>/usr/bin/pythonparam-value> #the5fire注释，这里要改成自己的python执行路径。...一般情况下这里会配置为Perl。"C:/Perl/bin/"为Perl的安装目录。

8732 0

Tomcat安装AWStats做统计

安装perl，下载地址：http://www.activestate.com/activeperl/downloads 根据操作系统版本下载安装，安装时选择将perl加入PATH Awstats本地下载...> param-name>debugparam-name> param-value>0param-value> param...> param> param-name>cgiPathPrefixparam-name> param-value>WEB-INF.../cgi-binparam-value> param> 5 和7即可。

3241 0

深入研究Citrix ADC远程执行代码 CVE-2019-19781

0x00:前言 CVE-2019-19781下发布了Citrix ADC和Citrix Gateway中的一个严重漏洞。...尽管最初的发现是由Positive Technologies和Paddy Power Betfair做出的，但是没有公开的关于如何利用它的详细信息，因此值得进一步研究。...->param('url')); my $newtitle = Encode::decode('utf8', $cgi->param('title')); my $newdesc = Encode::decode...('utf8', $cgi->param('desc')); my $UI_inuse = Encode::decode('utf8', $cgi->param('UI_inuse')); ... my...此外，可以通过警告包含带有"/V**s/"和"/../"字符串的POST请求的URL，然后是对以xml扩展名结尾的文件的GET请求（由@突出显示）来识别对利用尝试的检测。

9702 0

配置Nginx支持CGI

配置Nginx支持CGI 相信会特意看这篇文章的人对CGI是什么及其作用已经有了足够的了解，所以在这里不再赘述，直接开始配置。...需要一些perl模块的安装，个人习惯使用perl -MCPAN -e shell install FCGI Getopt IO Socket FCGI-ProcManager IO-ALL.../.*\.cgi$ { root /work/www/test; fastcgi_index index.cgi; fastcgi_param SCRIPT_FILENAME $...fastcgi_params复制模板，网上有些文档说从/etc/nginx/fastcgi_params拷过来，我部署的时候没有在这个位置找到这个文档，而且没有/etc/nginx这个文件夹，可能是因为版本和Nginx.../web/www/cgi-bin/ chmod +x mimetex.cgi

1.9K1 0

简易http服务器Tinyhttpd

(7) 建立两个管道，cgi_input 和 cgi_output, 并 fork 一个进程。...(8) 在子进程中，把 STDOUT 重定向到 cgi_outputt 的写入端，把 STDIN 重定向到 cgi_input 的读取端，关闭 cgi_input 的写入端和 cgi_output 的读取端...(9) 在父进程中，关闭 cgi_input 的读取端和 cgi_output 的写入端，如果 POST 的话，把 POST 数据写入 cgi_input，已被重定向到 STDIN，读取 cgi_output...使用perl编写的，对原项目的color.cgi中的代码中perl解释器路径进行更改。...食用流程 (1) 直接拷贝或者自行敲码 (2) 修改相关文件权限和perl代码（上面有写） (3) 在项目目录下使用makefile构建 [root@localhost Myhttpd]# make clean

2K1 0

diy 你的nginx-OpenResty

用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。...安装 openresty依赖库为:perl 5.6.1+, libreadline, libpcre, libssl centos: yum install readline-devel pcre-devel... openssl-devel ubuntu: apt-get install libreadline-dev libpcre3-dev libssl-dev perl 编译安装: 下载地址:http:/...; fastcgi_param GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE ...; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param

8272 0

翻译：Perl代码审计:Perl脚本中存在的问题与存在的安全风险

Perl也有安全“陷阱”，然而大多数Perl程序员并不了解这些陷阱。在本文中，我们将介绍一些被广泛误用和忽视的Perl特性。...例如，如果我们使用Perl编写CGI脚本，那么恶意用户可能会向您发送虚假输入。如果未经验证就使用，对此类应用程序的不当输入就可能会导致许多问题。...如果是则继续解释，perl将生成一个命令shell，如果perl不了解特殊的shell字符，perl会将字符串分解成单词，并调用更高效的C库调用execvp() 假设我们有一个CGI表单，它要求输入用户名...system ("cat /usr/stats/$username"); $username来自以下表单： $username = param ("username"); 用户填写表单时，例如;username...Backticks 在Perl中，读取外部程序输出的另一种方法是将命令包含在反标记中。

4K5 1

postfix+dns+dovecot+openwebmail

root@localhost ~]# telnet mail.aa.com 110 user tom //收件人登录 pass 123 //邮箱密码 list //列表查看邮件 retr 1 //读取编号为...和perl-suidperl 而且要配套 perl wget http://mirror.centos.org/centos/7/os/x86_64/Packages/perl-5.16.3-...force --nodeps perl-suidperl-5.10.1-144.el6.x86_64.rpm 配置openwebmail # vi /var/www/cgi-bin/openwebmail.../openwebmail-tool.pl --init perl-suidperl-5.8.8 (通过CentOS的yum功能直接安装，安装版本 5.8.8这个是和perl配套的，如果和perl版本不一致可能导致初始化.../openwebmail/.openwebmail.pl’ must setuid to root 原来刚才执行perl /var/www/cgi-bin/openwebmail/misc/tools/

1.2K2 0

CentOS7下搭建postfix邮箱服务器并实现extmail的web访问

perl-DBD-MySQL perl-GD perl-CPAN perl-CGI perl-CGI-Session cyrus-sasl-lib cyrus-sasl-plain cyrus-sasl...127.0.0.1:8888; fastcgi_index index.cgi; fastcgi_param SCRIPT_FILENAME...fastcgi_param SCRIPT_FILENAME /var/www/extsuite/extman/cgi/$fastcgi_script_name;...GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE nginx; fastcgi_param QUERY_STRING...Makefile.PL [root@localhost /usr/local/src/Unix-Syslog-1.1]# make && make install 启动nginx，并检查进程和监听端口是否正常

4.6K3 1

Postfix + Extmail 企业邮件服务器搭建

它以GPL版权释出，设计初衷是希望设计一个适应当前高速发展的IT应用环境，满足用户多变的需求，能快速进行开发、改进和升级，适应能力强的webmail系统。...并设置初始密码 service mysqld restart mysqladmin -u root password 123123 开始配置PostFix 1.创建独立的目录存储网页 2.将extmail和extman...=/home/vmail postconf -e virtual_uid_maps=static:600 postconf -e virtual_gid_maps=static:600 postfix读取模板文件...能够去数据库里读数据 1)修改vim /etc/dovecot/conf.d/10-mail.conf 2)修改vim /etc/dovecot/conf.d/10-auth.conf 3)修改如何在数据库里读取数据的文件...Makefile.PL make && make install yum install -y *CGI yum install -y perl-GD yum install -y perl-GD

3.9K3 0

Linux 下 Bugzilla 的安装及配置

查看系统中是否已安装 Perl： perl -v 一般情况下 Linux 系统会默认安装 Perl。...MySQL 用户名和密码。...$ { fastcgi_pass unix:/var/run/fastcgi-wrapper/fastcgi-wrapper.sock; fastcgi_param SCRIPT_FILENAME....cgi .pl 和 Options +Indexes +ExecCGI 这两项。...mod_cgi.c 和 mod_cgid.c 模块 # 下载 apache 源码安装包 sudo wget https://mirrors.tuna.tsinghua.edu.cn/apache

4K1 0

干货｜最全的Tomcat漏洞复现笔记

目录下的任意文件，例如可以读取 webapp配置文件或源码。...enableCmdLineArguments启用后才会将Url中的参数传递到命令行executable指定了执行的二进制文件，默认是perl，需要置为空才会执行文件本身。...param> param-name>enableCmdLineArgumentsparam-name> param-value>trueparam-value...> param> param> param-name>executableparam-name> param-value>param-value...> param> 然后在conf/web.xml中启用cgi的 servlet-mapping 修改conf/context.xml的添加 privileged="true"属性

16.4K5 3

webmin纯web界面管理linux系统「建议收藏」

Webmin 包括一个简单的 Web 服务器和许多 CGI 程序,这些程序可以直接修改系统文件,比如 /etc/inetd.conf 和 /etc/passwd。...Web 服务器和所有的 CGI 程序都是用 Perl 5 编写的,没有使用任何非标准 Perl 模块。”...Perl 的强项在于文本处理,广泛应用于 Web CGI 编程。Perl 可以通过添加模块来进行扩展,这些模块实际上是函数库,也是用 Perl 编写的。...“Perl Modules”工具可以使您紧跟 Perl 模块的发展,它可以直接连接到 Internet 上的 CPAN。...Webmin 工具是基于控制台的工具的前端,因此使用这两种工具进行配置效果是一致的,它们都可以可靠地完成管理任务。

3.4K4 0

《Perl语言入门》——读书笔记

PATH::Class CGI 数据库接口 DBI 处理日期和时间 DateTime Time::Piece 第十二章文件测试测试操作符 stat和lstat函数 localtime和gmtime...十一章 Perl模块模块来源随Perl发行版一同打包的，所以安装了Perl就可以用这些模块从CPAN下载，需要自己安装使用cpan工具查看模块文档 % perldoc CGI ：查看CGI模块文档...( 'Win32' ); # Users\fred\lib CGI use CGI qw/ :all /; # 加载分组all，模块可以有不同的分组，比如：:cgi，:html5 print header...( param() ) { $list_items .= li( "$param: " . param($param) ); } print ul( $list_items ); print...PATH::Class CGI 数据库接口 DBI 处理日期和时间 DateTime Time::Piece 第十二章文件测试测试操作符 stat和lstat函数 localtime和gmtime

3K2 0

AWStats简介

cgi-bin/awstats/ 目录下升级国内主要搜索引擎和蜘蛛定义，安装GeoIP的应用库：C [url]http://www.maxmind.com/download/geoip/api.../c/[/url] 解包，编译安装 perl -MCPAN -e ‘install “Geo::IP”‘ 或者使用纯Perl包 perl -MCPAN -e ‘install “Geo::IP::...格式 (combined)和IIS格式(需要修改)。...程序读取统计结果数据库输出；一种是运行后台脚本将输出导出成静态文件；以下是2个针对单个站点日志统计例子：一个是在GNU/Linux上通过CGI方式的输出，一个是在Windows.../configure; make #make install 然后下载Perl库： GeoIP Perl解包后 %perl MakeFile.PL; make #make install

6703 0

树莓派安装 Nginx + PHP7.0 + phpMyAdmin + Pi Dashboard

语法吸收了C语言、Java和Perl的特点，利于学习，使用广泛，主要适用于Web开发领域。PHP 独特的语法混合了C、Java、Perl以及PHP自创的语法。...它可以比CGI或者Perl更快速地执行动态网页。...用PHP做出的动态页面与其他的编程语言相比，PHP是将程序嵌入到HTML（标准通用标记语言下的一个应用）文档中去执行，执行效率比完全生成HTML标记的CGI要高许多；PHP还可以执行编译后代码，编译可以达到加密和优化代码运行...# Fastcgi服务器和程序(PHP,Python)沟通的协议....other unix sockets): fastcgi_pass unix:/var/run/php/php7.0-fpm.sock; # 设置脚本文件请求的路径 fastcgi_param

2.9K2 0

点击加载更多

【愚公系列】2023年06月攻防世界-Web（i-got-id-200）

攻防世界web进阶区i-got-id-200超详解

日志分析工具Awstats实战之Nginx篇

搭建基于Nginx环境的Nagios监控系统

python项目练习六：使用CGI进行远程编辑

Tomcat安装AWStats做统计

深入研究Citrix ADC远程执行代码 CVE-2019-19781

配置Nginx支持CGI

简易http服务器Tinyhttpd

diy 你的nginx-OpenResty

翻译：Perl代码审计:Perl脚本中存在的问题与存在的安全风险

postfix+dns+dovecot+openwebmail

CentOS7下搭建postfix邮箱服务器并实现extmail的web访问

Postfix + Extmail 企业邮件服务器搭建

Linux 下 Bugzilla 的安装及配置

干货｜最全的Tomcat漏洞复现笔记

webmin纯web界面管理linux系统「建议收藏」

《Perl语言入门》——读书笔记

AWStats简介

树莓派安装 Nginx + PHP7.0 + phpMyAdmin + Pi Dashboard

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐