左优扬 发表于 2025-7-29 12:18:44

CVE-2018-8715 AppWeb认证绕过漏洞 (复现)

启动后,访问 http://your-ip:8080,会提示需要输入账号密码,表明环境搭建成功

用户名输入admin,不要点击登录,先挂上burpsuite的代理
使用bp抓包,右键包选择 Send to Repeater,切换到 Repeater 模块
修改请求头

定位 Authorization 头,删除原有复杂参数(如realm、nonce等),仅保留/替换为Authorization: Digest username=admin
点击 Repeater 的Send按钮,观察响应
成功特征:响应状态码为 200 OK,且响应体包含 AppWeb 的欢迎页面内容(如 “Embedthis Appweb 3.0A.1 Documentation”)

打开开发者工具(F12)→ Application → Cookies → 选中目标域名(如192.168.75.132:8080)→ 添加 Cookie,名称为 -http-session-,值为提取的 session
添加session之后刷新页面无需账密即可访问页面(记得关掉代理哦)

成功绕过登录!此漏洞成功复现!!!

来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

膏包 发表于 2025-10-25 15:34:13

感谢发布原创作品,程序园因你更精彩

桂册 发表于 2025-11-5 11:45:21

东西不错很实用谢谢分享

赊朗爆 发表于 2026-1-14 03:12:27

用心讨论,共获提升!

臧莞然 发表于 2026-1-14 19:38:00

懂技术并乐意极积无私分享的人越来越少。珍惜

玛凶 发表于 2026-1-19 06:06:27

yyds。多谢分享

骆贵 发表于 2026-1-20 16:13:17

过来提前占个楼

恃液 发表于 2026-1-23 08:45:42

鼓励转贴优秀软件安全工具和文档!

刃减胸 发表于 2026-1-28 07:53:05

感谢,下载保存了

乐敬 发表于 2026-2-2 02:26:52

谢谢楼主提供!

班嘉淑 发表于 2026-2-3 21:40:28

分享、互助 让互联网精神温暖你我

胆饬 发表于 2026-2-5 04:55:27

谢谢楼主提供!

猷浮 发表于 2026-2-5 08:42:35

鼓励转贴优秀软件安全工具和文档!

司寇涵涵 发表于 2026-2-8 06:41:25

yyds。多谢分享

指陡 发表于 2026-2-8 09:06:51

新版吗?好像是停更了吧。

能杜孱 发表于 2026-2-8 10:39:46

感谢分享

忿惺噱 发表于 2026-2-9 01:08:31

感谢分享

喙审 发表于 2026-2-9 01:40:50

感谢分享,下载保存了,貌似很强大

丘奕奕 发表于 2026-2-9 07:10:40

不错,里面软件多更新就更好了

尝琨 发表于 2026-2-10 08:32:00

谢谢分享,试用一下
页: [1] 2
查看完整版本: CVE-2018-8715 AppWeb认证绕过漏洞 (复现)