Goby 漏洞发布| QNAP NAS authLogin.cgi 命令执行漏洞(CVE-2017-6361)

最新推荐文章于 2024-04-13 07:43:30 发布
最新推荐文章于 2024-04-13 07:43:30 发布
阅读量566 收藏 11
点赞数 10
分类专栏: Goby 漏洞 红队版 文章标签: Goby 渗透工具 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46699477/article/details/135296469
版权
Goby 同时被 3 个专栏收录
185 篇文章 31 订阅
订阅专栏
漏洞
134 篇文章 3 订阅
订阅专栏
红队版
114 篇文章 4 订阅
订阅专栏

漏洞名称:QNAP NAS authLogin.cgi 命令执行漏洞(CVE-2017-6361)

English Name:QNAP NAS authLogin.cgi command execution vulnerability (CVE-2017-6361)

CVSS core: 9.8

影响资产数: 2637547

漏洞描述:

QNAP NAS(网络附加存储)是一种专为存储、恢复和管理数据而设计的设备。QNAP 提供了许多不同的 NAS 模型,适合家庭、小型办公室和大型企业。QNAP NAS 可通过网络与多个设备共享数据,提供数据备份、文件同步、远程访问等功能。QNAP NAS还支持第三方应用程序,为用户提供更多的功能和服务。攻击者可通过未授权接口发送 shell 元字符利用该漏洞执行任意命令,写入后门,获取服务器权限,进而控制整个 web 服务器。

FOFA查询语句(点击直接查看结果):

app=“QNAP-NAS”

此漏洞已可在Goby漏扫/红队版进行扫描验证

在这里插入图片描述

下载Goby:Goby社区版下载

查看Goby更多漏洞:Goby历史漏洞合集

关注Goby公众号获取最新动态:Gobysec

Gobysec
关注
  • 10
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
C++后台实践:古老的CGI与Web开发
果冻虾仁
01-25 1万+
本文写给C/C++程序猿,也适合其他对历史感兴趣的程序猿。  谈到web开发,大家首先想到的PHP、JavaEE/JSP、.NET/ASP、Ruby on rails、Python的Django等等。可谓百花齐放,你一般不会想到C++和Web开发有什么关系,但其实动态网页的开发(web开发)可是在动态语言发明之前就存在的了。 在天地初开,混沌未分之时,动态网页语言尚未出世,要实现动态网站依赖的就是CGI。谷歌/百度一下CGI,可能会出现很多名词:CGI脚本、CGI程序、CGI标准等等。其实这些都是站在不同角
Goby漏洞更新 | QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞CVE-2022-27596)
m0_46699477的博客
04-04 376
QNAP-NAS authLogin.cgi 文件 app_token 参数代码执行漏洞CVE-2022-27596)
ncl:核框架脚本
03-15
ncl:核框架脚本
Pocsuite3--编写破壳CVE-2014-6271_Shellshock的POC
17bdw的编程备份笔记
05-26 35
前言 编写破壳CVE-2014-6271_Shellshock的POC,把公开出来的路径封装起来,作为Pocsuite3的验证POC 情况1:网站无法访问,返回失败 情况2:网站可以访问,无漏洞 情况3:网站可以访问,有漏洞 优先获取网站本身的cgi路径,如果没有,就用自带的cgi路径测试。 代码 15分钟,35个站点 #!/usr/bin/env python # coding: utf-8 ...
cgi使用
hxchuan000的专栏
12-31 2990
在web端用F12也可以查看network:GET post的情况。cgi代码并不长,区分以下普通和文件的上传:x-www-form-urlencoded与multipart/form-data区别。 cgiGetenv(&cgiServerSoftware, (char*)"SERVER_SOFTWARE");//lighttpd/1.4.35 ---明显取得web
create-autorun:在QNAP NAS上创建自动运行环境
05-25
这是一次运行的BASH脚本,用于在QNAP NAS上创建自动运行环境。 当NAS启动时,这可用于自动执行自己的脚本。 它能做什么 此安装程序脚本将autorun.sh处理器写入.system目录下的默认卷中。 然后将其符号链接到DOM,...
qnap-acme.sh
09-18
威联通QNAP自动续签更新SSL证书脚本(配合acme.sh使用),支持Let's Encrypt免费证书,支持域名泛解析证书,如:*.xx.com。
威联通qnap使用acme自动更新证书 qnap-acme.sh
01-29
配合neilepang/acme.sh容器,QTS 5.x可用脚本
QNAP NAS 系统安装-dengzhang.docx
08-12
QNAP NAS 系统安装教程 QNAP(Quality Network Appliance Provider)是一家知名的网络存储解决方案提供商,其产品包括网络附加存储(NAS)设备,用于个人和企业数据存储、备份、共享和多媒体应用。本教程将指导您...
Cloudflare-DDNS:用于Cloudflare的简单DynDNS API,用于自托管| QNAP与Synology NAS的理想选择
05-24
有了这个小巧但美观的界面,就可以托管自己的api以便在QNAP或Synology NAS系统上为您的DynDNS使用Cloudflare域该API使用JSON和QNAP和Synology系统的匹配状态代码进行响应 需要的信息: Cloudflare帐户电子邮件 ...
cgi用户登录验证源码和例子
01-03
cgi开发的用户登录验证界面,绝对可用,window和arm嵌入式linux的cgi程序均可用,会话超时重新登录,方便集成到自己的应用程序中
Goby漏洞更新 QNAP-NAS authLogin(1),2024年最新面试字节跳动被问Golang屏幕适配方案
最新发布
2401_84248479的博客
04-13 487
都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2023.3.17 | Goby红队版可利用漏洞更新
m0_46699477的博客
03-17 8692
Nacos 身份认证绕过、泛微OA SQL注入、任意文件读取CVE-2023-26256、任意文件上传CVE-2022-39952、 天融信任意文件下载、命令执行漏洞、代码执行CVE-2022-27596、 路径穿越CVE-2022-48253、CVE-2023-25717、Aspera 远程代码执行CVE-2022-47986、SolarView Compact 、CVE-2023-23333、未授权访问、CVE-2022-31474、TurboMail文件读取、Apache默认密码....
[cgi-bin] 30个漏洞+使用方法
weixin_33782386的博客
04-03 1772
/smspass.plusername=username&password=password/index.cgiwei=ren&gen=command/passmaster.cgiAction=Add&Username=Username&Password=Password/accountcreate.cgiusername=username&password...
微信公众号扫码模拟登录
zj328316760的博客
07-06 4151
由于公司小游戏/小程序多达50+,为方便管理,需要爬取小程序/小游戏的收入数据。 故需要模拟微信公众平台登录操作(手机扫码确认)后才能获取。通过抓包工具一步步分析登录过程,及他所需要的数据。 1.请求首页" https://mp.weixin.qq.com " 要先获取首页,此步骤必须要做,不然无法获得正常数据。 2.请求开始登录接口" https://mp.weixin.qq....
自关联,authlogin
weixin_30407099的博客
08-19 935
自关联 - 自关联 - 多对多关联 models.py: #### 自关联 class User(models.Model): name = models.CharFiel...
GET https //login weixin qq com/cgi-bin/mmwebwx-bin/login
qq_43682661的博客
01-28 5404
GET https //login weixin qq com/cgi-bin/mmwebwx-bin/login
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值