nostromo nhttpd 目录穿越及远程代码执行漏洞CVE-2019-16278[附PoC]

CVE-2019-16278

nostromo nhttpd是一款开源的Web服务器。

nostromo nhttpd 1.9.6及之前版本中的‘http_verify’函数存在路径遍历漏洞。该漏洞源于网络系统或产品未能正确地过滤资源或文件路径中的特殊元素。攻击者可利用该漏洞访问受限目录之外的位置。

http://www.nazgul.ch/dev/nostromo_man.html

(这玩意好像很小众啊..为什么漏洞一出就这么火，难道以为是httpd？)

https://www.exploit-db.com/exploits/35466

https://nvd.nist.gov/vuln/detail/CVE-2019-16278

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16278