弱口令入侵FE企业管理平台【附口令】

最新推荐文章于 2024-09-23 17:29:00 发布
最新推荐文章于 2024-09-23 17:29:00 发布
阅读量823 收藏 5
点赞数 16
文章标签: 网络安全 系统安全 web安全 安全架构 ddos 计算机网络 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jijisaq/article/details/137714199
版权

漏洞描述

飞企互联-FE企业运营管理平台 druid路径弱口令,攻击者可能通过尝试弱口令,非法进入系统,恶意操作或者收集信息进一步攻击利用。

漏洞复现

1、Fofa

app="飞企互联-FE企业运营管理平台"

图片

2、零零信安

(html_banner==360浏览器\搜狗高速浏览器\QQ浏览器强制用webkit)

图片

这类会员账号均可在吉吉安全团队圈子获取(文末有介绍)

部分界面如下:

图片

使用弱口令可直接登录druid(弱口令文末获取)

图片

图片

在浏览器中输入ULR目标,打开登录界面输入弱口令,即可进入后台(看不懂可以看历史文章,有详细教学)

图片

修复建议 

1、请联系厂商进行修复或升级到安全版本。

2、如非必要,禁止公网访问该系统。 

3、设置白名单访问。

弱口令获取

公众号:吉吉说安全,对我发消息【20240413】免费获取弱口令」

「你即将失去如下所有学习变强机会

学习效率低,学不到实战内容,花几千、上万报机构没有性价比

一顿自助钱,我承诺一定让用户满意,也希望用户能给予我一份信任

详情下方图片了解,【扫下方二维码加入】:只做高质量优质精品内容」

图片

 

免费红队知识库:
 

 

图片
 

 

图片
 

免责声明
 

由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

                

        

        

    

  


    

      

        

            

              
                
                  吉吉说安全
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
飞企互联-FE企业运营管理平台 druid路径 弱口令漏洞复现

				
			

			

				

					0xSec
				

				

					04-08
					
					838
					
				

			

		

		

			
				
飞企互联-FE企业运营管理平台/druid/login.html 路径处的登录接口存在弱口令漏洞,未授权的攻击者可通过该漏洞直接进入后台管理页面,获取敏感信息,进一步利用可控制整个服务器。

			
		

	



                

            
              



	

		

			

				
					
飞企互联-FE企业运营管理平台 publicData.jsp SQL注入漏洞复现

				
			

			

				

					0xSec
				

				

					02-01
					
					574
					
				

			

		

		

			
				
飞企互联-FE企业运营管理平台 publicData.jap 接口存在SQL注入漏洞,未经授权攻击者可通过该漏洞获取数据库敏感信息,进一步利用可获取服务器权限,导致网站处于极度不安全状态。

			
		

	



              


  
              

                


	

		

			

				
					
src漏洞挖掘 | 针对Druid框架漏洞的挖掘技巧

					
最新发布

				
			

			

				

					人若无名,便可专心练剑
				

				

					09-23
					
					907
					
				

			

		

		

			
				
这次是跟着厉害的师傅学习的,然后自己在网上找了比较多的教程,先是在本地搭建的Druid靶场,然后自己打了一遍。其实以前我也是经常会打VulnHub靶场的,也是碰到过的,像Druid框架的网站的话,要是碰到先试试弱口令,然后再试试常见的接口未授权漏洞,后面再打打其他的nday。这篇文章写的有点急,可能写的不是那么好,希望师傅大佬们不要喷我哈!哈哈哈这篇文章呢,主要是给师傅们分享下Druid框架漏洞的相关,给师傅们提供下简单的对于Druid漏洞的思路。希望对师傅们有帮助哈!想加内部圈子,请联系我!

			
		

	





	

		

			

				
					
【漏洞复现】飞企互联-FE企业运营管理平台-editflow-manager-sql注入

				
			

			

				

					知黑而守白
				

				

					01-18
					
					159
					
				

			

		

		

			
				
飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台,采用云计算、智能化、大数据、物联网和移动互联网等技术,以支撑企业的数字化转型。飞企互联的FE企业运营管理平台中的 editflow_manager 接口存在SQL注入漏洞,该漏洞使得攻击者可以通过构造精心设计的恶意SQL语句,成功执行未经授权的数据库操作。此漏洞可能导致敏感信息泄露、数据库被篡改或其他安全风险。

			
		

	



		

			
		



	

		

			

				
					
飞企互联-FE企业运营管理平台uploadAttachmentServlet存在任意文件上传漏洞

				
			

			

				

					qq_36334672的博客
				

				

					03-29
					
					370
					
				

			

		

		

			
				
​	飞企互联-FE企业运营管理平台 uploadAttachmentServlet存在文件上传漏洞,攻击者可通过该漏洞在服务器端写入后门文件,任意执行代码,获取服务器权限,进而控制整个 web 服务器。

			
		

	





	

		

			

				
					
【漏洞复现】若依系统Druid默认弱口令漏洞

				
			

			

				

					晚风不及你
				

				

					02-26
					
					3617
					
				

			

		

		

			
				
若依系统(RuoYi)是一套基于SpringBoot的权限管理系统,核心技术采用Spring、MyBatis、Shiro,众多政府、企业采用它作为某些系统的权限管理后台,使用率较高。

			
		

	





	

		

			

				
					
Hydra(九头蛇)弱口令

				
			

			

				

					墨痕诉清风的博客
				

				

					01-11
					
					9176
					
				

			

		

		

			
				
一个非常快速的网络登录破解程序,支持许多不同的服务。查看功能集和服务覆盖页面-包括与ncrack和medusa的速度比较 当前版本:8.6最后更新2017-07-21(c)vanHauser/THC的2001-2017@thc.org;许多模块都是由David(dot)Maciejak @ gmail(dot)com编写的BFG代码由Jan Dlabal提供在AGPLv3下许可(见LICENSE文件)请不要在军事或秘密服务机构使用,或为非法目的。

			
		

	





	

		

			

				
					
网络安全CTF流量分析-入门5-SSH登录流量和Linux基本操作流量

				
			

			

				

					m0_51198141的博客
				

				

					11-23
					
					684
					
				

			

		

		

			
				
这道题还是比较简单的,只要熟悉基本的Linux命令和得到相应的结果就能根据题目找到答案,重点在于打开TCP流量观察,和对Linux系统的熟练度。欢迎师傅们交流沟通

			
		

	





	

		

			

				
					
云原生安全检测工具(容器安全、trivy、veinmind-tools)

				
			

			

				

					墨痕诉清风的博客
				

				

					07-31
					
					854
					
				

			

		

		

			
				
例如上文的 mysql:5.7 镜像,在扫描镜像包含的 openssl 库时,会根据操作系统版本,去 trivy.db 的"Oracle Linux 7"、“openssl”桶中查询相关漏洞信息,并最终生成 CVE-2021-23840 漏洞告警。如果没有,则需要解析基础镜像,并根据其中的操作系统版本文件(etc/alpine-release、usr/lib/os-release、/etc/os-release 等),来确定基础镜像的操作系统版本。‍‍Trivy 的漏洞库,名叫 trivy-db​​。

			
		

	





	

		

			

				
					
我的linux学习之入坟到入门(二十)-服务管理之openssh

				
			

			

				

					dabaohjl的博客
				

				

					07-05
					
					114
					
				

			

		

		

			
				
文章目录1. 使用 SSH 访问远程命令行1.1 OpenSSH 简介1.2 SSH 认证方式1.3 openSSH 的工作模式1.4 Secure Shell 示例1.5 SSH 主机密钥2. 配置基于 SSH 密钥的身份验证3. 自定义 SSH 服务配置4. SSH 安全注意事项作业

1. 使用 SSH 访问远程命令行
1.1 OpenSSH 简介
OpenSSH这一术语指系统中使用的Secure Shell软件的软件实施。用于在远程系统上安全运行shell。如果您在可提供ssh服务的远程Linux系

			
		

	





	

		

			

				
					
红队内网攻防渗透:内网渗透之内网各种工具平台的使用

				
			

			

				

					HACKONE的博客
				

				

					04-10
					
					466
					
				

			

		

		

			
				
红队内网攻防渗透内网各种工具平台的使用
内网各种工具平台的使用



			
		

	





	

		

			

				
					
【漏洞复现】通天星CMSV6车载监控平台Druid弱口令漏洞

				
			

			

				

					晚风不及你
				

				

					04-25
					
					242
					
				

			

		

		

			
				
通天星CMSV6车载视频监控平台存在Druid弱口令漏洞,导致攻击者通过此漏洞登录系统获取敏感信息。

			
		

	





	

		

			

				
					
解决druid 后台弱口令漏洞,springboot,亲测可用

				
			

			

				

					weixin_42279465的博客
				

				

					02-24
					
					4111
					
				

			

		

		

			
				
druid 后台弱口令漏洞,综合利用漏洞,攻击者可以
登入系统数据库获取敏感数据,上传木马后门,存在安全隐患,具体
情况详情请见验证情况。Druid本身是不存在漏洞的,Druid未授权访问是因为开发者配置的不够全面,导致攻击者输入。即可直接即可登录到Druid监控界面,这就是所谓未授权,即可访问。修改application.properties文件。

			
		

	





	

		

			

				
					
飞企互联-FE企业运营管理平台管理员权限登录绕过漏洞复现

				
			

			

				

					qq_39573664的博客
				

				

					12-29
					
					893
					
				

			

		

		

			
				
飞企互联的FE企业运营管理平台存在一个潜在的安全漏洞,涉及到2.ln接口的登录绕过问题。未经授权的攻击者可以通过构造恶意的URL访问页面,直接进入后台管理页面,获取敏感信息。这种漏洞可能为攻击者提供了进一步控制整个服务器的机会,对系统的安全性构成潜在威胁

			
		

	





	

		

			

				
					
SRC之若依系统弱口令

				
			

			

				

					杳若的博客
				

				

					09-14
					
					2525
					
				

			

		

		

			
				
SRC之若依系统弱口令恰分攻略

			
		

	





	

		

			

				
					
某购物商城系统commodtiy接口处存在任意文件上传漏洞

				
			

			

				

					weixin_43167326的博客
				

				

					05-10
					
					948
					
				

			

		

		

			
				
某购物商城系统commodtiy接口处存在任意文件上传漏洞,恶意攻击者可以上传恶意软件,例如后门、木马或勒索软件,以获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。

			
		

	





	

		

			

				
					
Apache Druid 命令执行漏洞(CVE-2021-25646)复现

				
			

			

				

					thelostworld
				

				

					02-02
					
					7881
					
				

			

		

		

			
				
Apache Druid 命令执行漏洞(CVE-2021-25646)

一、漏洞描述

Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。攻击者可直接构造恶意请求执行任意代码,控制服务器。

二、影响版本

Apache Druid < 0.20.1

三、漏洞环境&漏...

			
		

	





	

		

			

				
					
飞企互联-FE企业运营管理平台 多处登录绕过漏洞复现

				
			

			

				

					0xSec
				

				

					12-28
					
					1816
					
				

			

		

		

			
				
飞企互联-FE企业运营管理平台2.ln、loginService.fe等接口处存在登录绕过漏洞,未授权的攻击者可构造恶意的url访问页面,可直接进入后台管理页面,获取敏感信息,进一步利用可控制整个服务器。

			
		

	





	

		

			

				
					
代码审计之若依系统

				
			

			

				

					qq_44029310的博客
				

				

					06-19
					
					5305
					
				

			

		

		

			
				
若依是一套全部开源的快速开发平台,在日常工作中也会遇到很多若依搭建的网站,或者基于若依二开的网站,因为是以学习为目的,所以选择低版本下载,未选择最高版本,本文搭建版本是4.6.0版本,源码可以访问链接下载:https://gitee.com/y_project/RuoYi/releases。...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
吉吉说安全

			
感谢打赏,交个朋友!有困难找我

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值