| ID: | 7417 |
|---|---|
| 标题: | [Ruby]CVE-2017-17405 |
| 描述: | https://github.com/vulhub/vulhub/tree/master/ruby/CVE-2017-17405 |
| 类型: | Real |
| 网站: | BUUCTF |
| 题目链接: | https://buuoj.cn/challenges#[Ruby]CVE-2017-17405 |
| 赛事: | Ruby |
| 年度: | None |
| Flag值: | Ruby Net::FTP模块命令注入漏洞(CVE-2017-17405)的漏洞描述、影响范围及复现过程详见以下链接: 漏洞描述:Ruby Net::FTP模块使用open函数处理文件名时未过滤shell字符,导致用户控制文件名时可注入任意命令 1 4。 影响范围:Ruby 2.2系列(≤2.2.8)、2.3系列(≤2.3.5)、2.4系列(≤2.4.2)、2.5系列(≤2.5.0-preview1)及主干修订版r61242之前版本 1 4。 复现步骤:通过Docker启动漏洞环境,运行FTP服务器(如pyftpdlib),构造恶意文件名(如 |
| writeup: | touch${IFS}cve-2017-17405.txt)触发命令执行 1 5。 |