【漏洞复现】飞企互联-FE企业运营管理平台-common_sort_tree-RCE

最新推荐文章于 2024-07-29 09:22:32 发布
最新推荐文章于 2024-07-29 09:22:32 发布
阅读量288 收藏 4
点赞数 2
分类专栏: 漏洞复现 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135496681
版权

  目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台,采用云计算、智能化、大数据、物联网和移动互联网等技术,以支撑企业的数字化转型。

0x02 漏洞概述

        飞企互联-FE企业运营管理平台 common_sort_tree.jsp 接口权限设置不当,攻击者可以通过利用此漏洞执行系统命令,导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。

0x03 网络测绘

fofa: app="飞企互联-FE企业运营管理平台"
Zoomeye: 'iconhash: "e90223165de1b1c7ae95336f10c3fe5d"'

0x04 漏洞复现

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
飞企互联FE业务协作平台 ProxyServletUti 任意文件读取漏洞复现
0xSec
04-16 683
飞企互联 FE 业务协作平台 ProxyServletUti 接口存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
飞企互联-FE企业运营管理平台管理员权限登录绕过漏洞复现
qq_39573664的博客
12-29 813
飞企互联FE企业运营管理平台存在一个潜在的安全漏洞,涉及到2.ln接口的登录绕过问题。未经授权的攻击者可以通过构造恶意的URL访问页面,直接进入后台管理页面,获取敏感信息。这种漏洞可能为攻击者提供了进一步控制整个服务器的机会,对系统的安全性构成潜在威胁。
飞企互联-FE企业运营管理平台 多处 SQL注入致RCE漏洞复现
0xSec
06-28 837
飞企互联-FE企业运营管理平台 checkGroupCode、efficientCodewidget39、ajax_codewidget39等接口存在SQL注入漏洞,未经授权攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修复。
漏洞复现飞企互联FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞
https://blog.echo234.cn/
03-25 703
FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台飞企互联FE业务协作平台uploadAttachmentServlet 任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
漏洞复现飞企互联Ognl表达式注入导致RCE
weixin_45530380的博客
01-02 643
【代码】【漏洞复现飞企互联Ognl表达式注入导致RCE
漏洞复现-docker-unauthorized-rce
qq_59350385的博客
06-27 6425
一、漏洞介绍1.1漏洞成因 docker remote API未授权访问漏洞,此API主要目的是取代命令执行页面,开放2375监听容器时,会调用这个API。方便docker集群管理和扩展2.2环境准备 靶机环境:192.168.xx.xxx (ubuntu) 攻击环境:192.168.xx.xxx (kali) 在靶机上使用复现漏洞环境。 vulhub官网地址:https://vulhub.org 二、漏洞检测直接输入地址 ;若能访
漏洞复现-CVE-2022-24112 APISIX远程代码执行漏洞原理与复现
关注网络安全、云原生安全
07-15 1682
由于代码逻辑问题,没有覆盖为真实ip,导致绕过了请求限制,且发送请求有默认的key,通过发送请求注册路由,并使用batch-requests插件执行了命令。
Ivanti VPN RCE漏洞复现(CVE-2024-21887)
0xSec
01-18 2007
Ivanti Connect Secure (9.x, 22.x) 和Ivanti Policy Secure (9.x, 22.x) 的web组件中存在身份验证绕过漏洞(CVE-2023-46805)和命令注入漏洞(CVE-2024-21887),成功利用该漏洞链允许远程未经认证的攻击者以root权限执行任意操作系统命令,导致服务器失陷。
【Apache ActiveMQ 远程代码执行漏洞复现(CVE-2023-46604)】
一纸荒芜的博客
04-26 1940
近期在漏洞扫描时发现服务器存在CVE-2023-46604漏洞,故做一下漏洞复现记录。
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
CVE-2020-0796_SMBGhost_RCE_exp.zip
06-05
CVE-2020-0796_SMBGhost_RCE_exp.zip CVE-2020-0796 exp
SMBGhost_RCE_PoC-master.zip
06-11
标题中的"SMBGhost_RCE_PoC-master.zip"是一个压缩包文件,其中包含了与名为"SMBGhost"的安全漏洞相关的远程代码执行(RCE)的概念验证(PoC)代码。这个漏洞被称为CVE-2020-0796,它是在服务器消息块版本3(SMBv3)...
《“微软蓝屏”敲响警钟:网络安全与系统稳定何去何从》
2302_77186925的博客
07-24 1694
“微软蓝屏”事件暴露了网络安全哪些问题
网络安全之初始访问阶段攻防手段(三)
子非渔
07-25 1057
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
非科班出身的你,如何转行web安全工程师?零基础入门到精通,收藏这一篇就够了
最新发布
Python_paipai的博客
07-29 286
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取。那么,转行web安全工程师,你需要掌握哪些技能呢?对web安全工程师很感兴趣。对现在的工作没有热情。
“微软蓝屏“事件暴露了网络安全哪些问题?
程序员-张师傅
07-23 919
微软蓝屏事件,尤其是2024年7月19日发生的全球性Windows系统崩溃事件,带来了多方面的深刻教训。
网络安全自学从入门到精通的制胜攻略!!!
2301_77160226的博客
07-27 180
在信息时代,网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术,开启充满挑战与机遇的职业道路。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值