【漏洞复现】Monitorr-upload-文件上传(CVE-2024-0713)

最新推荐文章于 2024-05-05 00:18:04 发布
最新推荐文章于 2024-05-05 00:18:04 发布
阅读量121 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135844788
版权
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Monitorr 任意文件上传漏洞复现(CVE-2024-0713)
0xSec
01-24 1098
Monitorr 1.7.6m 版本中发现漏洞。它已被宣布为关键。受此漏洞影响的是组件服务配置的文件 /assets/php/upload.php 的未知功能。对参数 fileToUpload 的操作会导致不受限制的上传,未经身份验证的攻击者可远程上传恶意文件导致服务器失陷。
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835
06-20
CVE-2011-0816, CVE-2011-0831, CVE-2011-0832, CVE-2011-0835, CVE-2011-0838, CVE-2011-0848, CVE-2011-0870, CVE-2011-0876, CVE-2011-0879, CVE-2011-0880, CVE-2011-2230, CVE-2011-2231, CVE-2011-2232, CVE-2011-2238, CVE-2011-2239, CVE-2011-2242, CVE-2011-2243, CVE-2011-2244, CVE-2011-2248, CVE-2011-2253, CVE-2011-2257CVE-2011-0799 CVE-2011-0805 CVE-2009-3555 CVE-2011-0793, CVE-2011-0804, CVE-2011-0806 (Windows only)
CVE-2024-0713 Monitorr 文件上传漏洞分析
weixin_39205521的博客
01-25 524
Monitorr是一个自托管的PHP网络应用,可以监控本地和远程网络服务、网站和应用的状态。经过分析,该系统存在文件上传漏洞,攻击者可以通过该漏洞上传webshell至目标系统从而获取目标系统权限。该产品为开源产品:https://github.com/Monitorr/Monitorr。厂商官网 https://github.com/Monitorr/Monitorr。description: 产品已经停止更新,影响全版本,直接文件上传漏洞厂商 Monitorr。影响产品 Monitorr。
漏洞复现--Likeshop任意文件上传(CVE-2024-0352)
qq_53003652的博客
01-16 1192
Likeshop是一个100%开源免费的B2B2C多商户商城系统,支持官方旗舰店,商家入驻,平台抽佣+商家独立结算,统一下单+订单拆分等功能。该产品存在任意文件上传,攻击者可通过此漏洞上传木马获取服务器权限。
CVE-2022-27925 Zimbra任意文件上传漏洞复现
热爱学习,喜欢折腾!
10-26 3031
Zimbra提供一套开源协同办公套件包括WebMail,日历,通信录,Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。Zimbra Collaboration(又称ZCS)8.8.15和9.0具有mboximport功能,可接收ZIP存档并从中提取文件,具有管理员权限的认证用户可以将任意文件上传到系统中,从而导致目录遍历或远程代码执行。
漏洞复现-wordpress RCE-CVE-2024-25600
qq_73648490的博客
02-26 1034
wordpress 远程代码执行!!1
Ivanti VPN RCE漏洞复现CVE-2024-21887)
0xSec
01-18 1645
Ivanti Connect Secure (9.x, 22.x) 和Ivanti Policy Secure (9.x, 22.x) 的web组件中存在身份验证绕过漏洞CVE-2023-46805)和命令注入漏洞CVE-2024-21887),成功利用该漏洞链允许远程未经认证的攻击者以root权限执行任意操作系统命令,导致服务器失陷。
网络安全之密码学技术
缘友一世的博客
04-29 1452
在DES算法中,明文按64位进行分组(块),密钥长度也是64位,(事实上只有56位参与DES运算,第8、16、24、32、40、48、56、64位是校验位, 使DES的每个密钥都有奇数个1),分组后的每64位明文组(块)分别与56位密钥进行多轮置换(按位替代/交换),最后生成64位的密文组(块)。RSA密钥是(公钥+模值)、(私钥+模值)成组分发的,单独一个公钥或私钥是没有用处,所以所谓的“密钥”其实是它们两者中的一个。IDEA是作为迭代的分组密码实现的,使用128位的密钥和8个循环。
web安全】-- 命令执行漏洞详解
m0_72286569的博客
04-30 923
命令执行漏洞是一种网络安全漏洞,它允许攻击者在受影响的系统上执行恶意命令。这种漏洞通常出现在软件应用程序或系统中,其典型示例是 Web 应用程序中的远程命令执行(RCE)漏洞
网络安全思考题
weixin_62304542的博客
04-27 1491
网络安全渗透思考题
「 网络安全常用术语解读 」通用配置枚举CCE详解
网络安全
05-04 776
CCE列表为安全相关的系统配置问题提供了唯一的标识符,以便通过促进多个信息源和工具之间配置数据的快速准确关联来改进工作流程。
Web安全研究(九)
最新发布
至臻求学,胸怀云月
05-05 1129
这段代码事实上实现了一个 webshell 的基本功能,因为它允许通过 URL 参数直接控制和执行服务器端的代码,极其危险。在实际应用开发中,应避免直接使用eval函数,特别是当其包含来自用户输入的数据时。同时,也应该对所有用户输入进行严格的验证和过滤,以减少潜在的安全风险。
《网络安全技术 网络安全众测服务要求》
2301_76786857的博客
05-03 550
近日,全国网络安全标准化技术委员会发布《网络安全技术 网络安全众测服务要求》(GB/T 43741-2024,以下简称“众测服务要求”),并将在2024年11月1日正式实施。《众测服务要求》确立了网络安全众测服务的角色及其职责,描述了服务流程,规定了服务要求;适用于众测需求方、众测组织方、授权测试方和众测审计方在开展网络安全众测服务时使用。
【网络安全产品】---应用防火墙(WAF)
嘿嘿嘿
05-04 919
Web应用防火墙(Web Application FirewallWAF可对网站或者App的业务流量进行恶意特征识别及防护,在对流量清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致性能异常等问题,从而保障网站的业务安全和数据安全
cve-2021-3618漏洞复现
02-06
CVE-2021-3618漏洞是指影响了Mozilla Firefox浏览器的一个安全漏洞。该漏洞复现步骤如下: 1. 首先,你需要安装最新版本的Mozilla Firefox浏览器。确保你的浏览器已经更新到最新版本,因为最新版本通常会修复已知的漏洞。 2. 在Firefox浏览器中,打开一个新的标签页,并输入“about:config”(不包括引号)并按下Enter键。这将打开Firefox的高级配置页面。 3. 在搜索栏中输入“security.sandbox.content.level”(不包括引号),然后按下Enter键。你将看到一个名为“security.sandbox.content.level”的首选项。 4. 将“security.sandbox.content.level”的值更改为“0”(不包括引号)。这将禁用Firefox的内容沙箱。请注意,这将降低浏览器的安全性,请谨慎操作。 5. 关闭并重新启动Firefox浏览器,使更改生效。 6. 现在,你可以尝试复现CVE-2021-3618漏洞。使用Firefox浏览器访问一个存在安全漏洞的网站,如已知的恶意或受攻击的网站,或使用特定的payload触发漏洞。 7. 如果复现成功,可能会出现安全漏洞所导致的异常行为,比如系统崩溃、恶意代码执行等。如果没有出现异常行为,可能是因为已经修复了该漏洞或在你的环境中无法成功利用。 需要注意的是,复现CVE漏洞可能存在风险,并可能对你的计算机造成不可逆转的损害。这种操作只适用于在合法情况下进行安全测试和研究的专业人士,不推荐普通用户进行尝试。实施复现操作之前,请确认你已经了解并接受相关风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值