漏洞复现-TurboMail viewfile 文件读取漏洞(附漏洞检测脚本)

最新推荐文章于 2024-08-12 23:48:51 发布
最新推荐文章于 2024-08-12 23:48:51 发布
阅读量618 收藏 8
点赞数 7
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjjj1029056414/article/details/135085266
版权

免责声明

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

漏洞描述

TurboMail viewfile存在文件读取漏洞

fofa语句

body="maintlogin.jsp" && body="/mailmain?type=logout"

 poc加检测

GET /viewfile?type&
最低0.47元/天 解锁文章
炼金术师诸葛亮
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现TurboMail邮件系统viewfile文件读取漏洞
晚风不及你
12-27 666
TurboMail邮件系统是广州拓波软件科技有限公司研发的面向企事业单位通信需求而研发的电子邮件服务器系统。
TurboMail viewfile 文件读取漏洞(含批量验证poc)
weixin_43567873的博客
04-18 83
TurboMail viewfile 文件读取漏洞(含批量验证poc)
turbomail mysql_TurboMail 前台sql注入漏洞
weixin_42612804的博客
01-19 727
0x1 前台注入turbomail\web\webapps\ROOT\enterprise\noteadd.jsp:...UserInfo userinfo = ms.userinfo;if (userinfo == null) {XInfo.gotoInfo(ms,request,response,"info.loginfail",null,0);return;}String id = requ...
TurboMail邮件系统,完美修复OpenSSL心脏出血漏洞
weixin_33896726的博客
04-23 196
2019独角兽企业重金招聘Python工程师标准>>> ...
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8691
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
渗透知识-内网渗透(详细版本)
热门推荐
Jian Sun_的博客
02-11 2万+
1. 内网安全检查/渗透介绍 1.1 攻击思路 有2种思路: 攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者,看情况安装长期后门,实现长期控制和获得敏感数据的方式; 攻击办公网的系统、办公网电脑、办公网无线等方式,一般是采用社工,实现控制办公电脑,再用获得的办公网数据,可能是内网的各种登录账号和密码,再获取办公网或者生产网的有用数据。 一般内网安全检查使用第一种思路,实际的攻击2种思路结合实现。 1.2 敏感资
内网安全检查/渗透总结-转
安全解决方案
02-27 4841
1.1 攻击思路 有2种思路: 攻击外网服务器,获取外网服务器的权限,接着利用入侵成功的外网服务器作为跳板,攻击内网其他服务器,最后获得敏感数据,并将数据传递到攻击者,看情况安装长期后门,实现长期控制和获得敏感数据的方式; 攻击办公网的系统、办公网电脑、办公网无线等方式,一般是采用社工,实现控制办公电脑,再用获得的办公网数据,可能是内网的各种登录账号和密码,再获取办公网或者生产网的有用数据。...
java代码审计-Turbomail未授权接口访问分析
10-16
Java 代码审计是指对 Java 代码进行安全检查和漏洞检测的过程。通过对 Java 代码的审计,可以发现潜在的安全漏洞和问题,从而确保软件系统的安全性。在本文中,我们将对 TurboMail 邮件系统的 Java 代码进行审计,...
TurboMail邮件服务器.zip
07-11
1、支持多种操作系统  支持Windows/Linux/AIX/FreeBSD/Solaris/HP-UX等多种操作系统,并针对各种系统进行个性优化,使得产品在各种操作系统下的运行最优化。  2、傻瓜式安装和维护  无论在任何操作系统下两...
Turbomail邮件服务器_v3.9.2破解文件
07-31
1,下载V3.9.2文件 2,把注册文件拷贝到 邮件系统安装目录\conf下 3,重启邮件服务程序,安装注册成功。
TurboMail邮件服务器
07-23
资源名称:TurboMail邮件服务器工具简介:1、支持多种操作系统 支持Windows/Linux/AIX/FreeBSD/Solaris/HP-UX等多种操作系统,并针对各种系统进行个性优化,使得产品在各种操作系统下的运行最优化。 2、傻瓜式安装...
TurboMail邮件服务器软件 v4.3.0 for windows.exe
07-17
1、支持多种操作系统 支持Windows/Linux/AIX/FreeBSD/Solaris/HP-UX等多种操作系统,并针对各种系统进行个性优化,使得产品在各种操作系统下的运行最优化。 2、傻瓜式安装和维护 无论在任何操作系统下两分钟内...
深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
08-09 921
CSRF(Cross-Site Request Forgery)攻击是一种利用受害者在已经认证的状态下执行非意愿操作的攻击方式。攻击者通过诱使受害者访问恶意网站或点击恶意链接,来执行未经授权的操作,例如修改密码、进行转账等,简单来说就是,由于cookie是在浏览器共享的,所以一旦设置了cookie,那么当你打开另一个tab页的时候,也会携带过去,那么其他站点就可以使用cookie进行攻击,具体如下:比如:当你在浏览器中打开银行A的网页并成功登录后,你想要进行转账操作。
关闭Windows安全中心
applelin的博客
08-08 326
打开Windows安全中心的病毒和威胁防护。打开该选项的管理设置。
DLMS/COSEM中的信息安全安全密钥(中)
huaqianzkh的专栏
08-09 626
PKI是安全基础设施它创造和管理公钥证书以便于使用公钥(即非对称密钥)加密。为了实现这一目标,PKI需要执行两个基本任务:a)验证绑定的准确性后,生成和分发公钥证书将公钥绑定到其他信息;b)维护和分发未到期证书的证书状态信息。对于DLMS/COSEM,可以预料分层PKI包括如图23所示的以下组件。——根证书机构(Root-CA);——证书机构/下属机构(Sub-CA);——终端实体:不颁发证书的实体:DLMS/COSEM客户机,DLMS/COSEM服务器和第三方。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1453
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
Linux系统安全及应用(二):PAM安全认证
shyuu的博客
08-12 629
Linux系统安全及应用(二),详解PAM安全认证
Linux安全与高级应用(十一)Linux防火墙策略中的SNAT与DNAT应用解析
最新发布
洛秋的博客
08-12 546
SNAT和DNAT策略在Linux防火墙配置中占据着重要地位,它们不仅解决了网络地址转换的问题,还为网络安全提供了多层次的防护手段。在企业网络环境中,合理运用SNAT与DNAT策略,可以有效提升网络资源的利用率,同时大大增强网络的安全性。随着网络技术的不断发展,防火墙策略也将更加复杂和多样化,SNAT和DNAT将继续在网络安全领域发挥重要作用。掌握和灵活运用这些策略,将有助于应对未来网络安全中的各种挑战。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值