漏洞复现 飞视美 视频会议系统 Struts2 远程命令执行漏洞

最新推荐文章于 2024-09-05 11:00:53 发布
最新推荐文章于 2024-09-05 11:00:53 发布
阅读量265 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: struts java 后端 web安全 漏洞复现 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/131420848
版权
本文详细介绍了飞视美视频会议系统中存在的Struts2远程命令执行漏洞,该漏洞可能导致攻击者获取服务器权限。文章包含阅读须知,漏洞描述以及漏洞复现的步骤,强调了利用信息的合法性和学习目的。
摘要由CSDN通过智能技术生成

0x01 阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

0x02 漏洞描述

飞视美(facemeeting):facemeeting,即飞视美,隶属飞鱼星科技有限公司,坐落在四川成都,以SAAS模式提供国际标准的多媒体通讯服务,为即租即用的全新一代视频会议产品。飞视美专注提供高效、智能的视频会议解决方案,服务中小企业各类会议、协同办公等领域,通过网络进行异地实时的音视频沟通,协助中小企业构建高效、智能的统一通信系统平台。飞视美 视频会议系统存在Struts2远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限。
在这里插入图片描述

0x03 漏洞复现

fofa:app=“飞视美-视频会议系统”
1.执行ipconfig

了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
飞视美 视频会议系统 Struts2 远程命令执行漏洞
LiBai'S BLOG
10-10 1496
飞视美(facemeeting):facemeeting,即飞视美,隶属飞鱼星科技有限公司,坐落在四川成都,以SAAS模式提供国际标准的多媒体通讯服务,为即租即用的全新一代视频会议产品。飞视美专注提供高效、智能的视频会议解决方案,服务中小企业各类会议、协同办公等领域,通过网络进行异地实时的音视频沟通,协助中小企业构建高效、智能的统一通信系统平台。飞视美 视频会议系统存在Struts2远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限。
Positive Technologies 帮助修复了流行的 Yealink 视频会议系统中的一个危险漏洞
ptsecurity的博客
02-06 2454
专家发现,如果没有隔离区(可从互联网访问并与其他资源隔离的局域网段)或隔离区设置不完善,攻击者从外部入侵。根据负责任的披露政策,供应商获知了这一威胁,并发布了软件更新以修复该漏洞。利用这个漏洞,攻击者可以获得对企业网段的初始访问权限。是五大线上会议解决方案供应商之一。允许注入操作系统命令。我们的专家发现了视频会议系统。多个国家和地区使用。属于操作系统命令注入。的专家预估易受攻击的。
好视通视频会议系统存在任意文件读取漏洞复现 [附POC]
Liyu_6618的博客
03-02 750
好视通视频会议系统存在任意文件读取漏洞复现 [附POC]
思科Webex在线视频会议软件曝命令注入漏洞
mozhe_的博客
10-29 364
两名安全研究人员于近日发布消息称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。 这个安全漏洞由来自Counter Hack的Ron Bowes和Jeff McJunkin发现,并被命名为“WebExec”。为了让公众能够更加清楚地了解该漏洞,两名安全研究人员还为它专门建立了一个网站(webexec.org)。 该漏洞被追踪为CVE-2018...
java代码审计常见漏洞_java代码审计基础教程之V2会议系统多个漏洞集合/无需登录...
weixin_42387319的博客
02-27 841
因为学习java并不是很长时间,也没有做深入的研究。但是在学习之后,发现可以审计出一些简单的javaweb漏洞,所以想这这里和大家分享一下。0x01审计之初首先,我拿到了源码之后,大概看了一下这个系统的架构,发现是通过Struts写的。在具体看代码之前,我们先看一下这个会议系统有什么功能,在代码审计的时候,不能一股脑的先跑过去就看代码,我们要学会通过功能去找问题的缺陷。现在以**.**.**.**...
飞视美视频会议软件 v3.17
04-26
飞视美首先推出了软硬结合的视频会议解决方案,即拥有软件的操作简单和可扩展性强等优点,又有硬件的稳定性强,音视频效果好的优点!有别于过去单一视频会议解决方案。客户端支持1080p高清并有全面实用的数据功能,包括:...
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 1790
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
飞视美助力某IT公司项目主管“分身有术”
10-22
视频会议对比传统的沟通模式在协作层面具备明显优势,以往昂贵的视频会议系统让很多中小企业望而却步,但视频会议租赁服务模式的出现不仅仅让视频会议被中小企业以可以接受的价格获得,更让视频会议概念进行了深远的...
易飞系统自定义(画面与报表)及财务报表开发类.rar
08-11
《易飞系统自定义(画面与报表)及财务报表开发详解》 易飞系统,作为一款广泛应用的企业资源规划(ERP)软件,深受诸多企业的青睐。它涵盖了企业的各个业务领域,如生产、采购、销售、财务等,为企业提供了一体化的...
好视通视频会议平台系统漏洞复现
千寻的博客
05-21 2066
文章目录漏洞名称漏洞编号漏洞描述影响版本漏洞点fofa漏洞复现一第一步 查看登录界面第二步 使用弱口令第三步 进入系统第四步 任意文件读取摘抄 漏洞名称 弱口令 任意文件下载 漏洞编号 CNVD-2020-62437 https://www.cnvd.org.cn/flaw/show/CNVD-2020-62437 漏洞描述 好视通云会议是一款高效、便捷、低成本的网络视频会议产品,通过电脑或手机登录好视通云平台, 便可快速地与全球各地团队进行实时音视频沟通,并可同步分享各类数据文档。 好视通视频会
[工具使用]黑暗引擎FOFA
热门推荐
网络安全知识分享
08-29 3万+
黑暗引擎FOFAFOFA(点我进入)逻辑运算符搜索子域名domain搜索指定内容的host全部域名bodycert搜索选定应用的网站搜索指定开放端口的IP搜索指定协议的IP搜索IP或者网段的信息搜索指定CSS/JS网站常用的一些内容其他 FOFA(点我进入) 官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、
Struts2漏洞检测和利用
谢公子的博客
02-14 1万+
目录 ​Struts2 S2-001 S2-005 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,仅仅是能看懂而已,对struts2框架更是不懂。本文参考其他对struts2漏洞讲解的文章进行归纳总结,以后有时间去学习JAVA WEB开发方面的知识,后期再看了解原理。 Struts2 Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,广...
CVE-2017-12611 Struts2远程命令执行漏洞复现总结
qq_35622443的博客
01-11 3802
## CVE-2017-12611 Struts2-053' ### 前置知识 ``` web服务器 提供HTTP服务,传送静态页面 1、Apache Http Server(由Apache提供) 2、IIS(由Microsoft提供) 3、nginx(由NGINX,Inc。提供,发音类似于“Engine X”) 4、GWS(由谷歌提供,谷歌网络服务器的简称) 应用服务器 为应用程序提供可以调用的方法 1、WebLogic(Oracle 甲骨文公司) 2、Tomcat(Apache...
Java基础(6)- Java代码笔记3
weixin_47062560的博客
08-30 3236
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
JAVA基础:数据类型、命名规范
weixin_53755148的博客
09-05 1138
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
浅析synchronized锁升级的原理与实现 1
水w的博客
09-01 1242
浅析synchronized锁升级的原理与实现
基于JavaWeb开发的JavaSpringboot+Vue实现前后端分离房屋租赁系统
最新发布
央顺科技官方博客
09-05 415
2021年处于信息科技高速发展的大背景之下。在今天,缺少手机和电脑几乎已经成为不可能的事情,人们生活中已经难以离开手机和电脑。针对增加的成本管理和操作,各大商家非常有必要建立自己的网上房屋租赁平台系统,这既可以让更多的人体验到网络所带来的方便,也有助于提高房屋的租赁。在经过几十年的高速发展后,互联网已成为最流行、最普及的媒体,每天的信息流量甚至能比得上过去十年。其以便捷的信息交换、快速的沟通速度,悄然地改变着会员的消费方式。
计算机毕业设计选题推荐-任务管理系统-项目任务分配系统-Java/Python项目实战
IT研究室的博客
09-03 799
随着信息化技术的迅猛发展,各类企业和组织越来越依赖于高效的任务管理系统以保证其日常运营的顺利进行。根据IDC(国际数据公司)发布的报告显示,全球企业在数字化转型上的投入已达数千亿美元,其中相当一部分资金用于提升企业内部的管理效率。任务管理系统作为企业信息化的重要组成部分,能有效帮助企业分配、监控和反馈任务,从而提高工作效率。然而,尽管市场上已有多种任务管理系统,它们在功能、用户体验和适用性上存在显著差异。
数据访问:JPA
hhgh_的博客
09-02 1005
其二,Sun希望整合ORM 技术,实现统一的 API调用接口。@Table(name=“”,catalog=“”,schema=“”)可选,用来标注一个数据库对应的实体类,数据库中创建的表明默认和类名一致,通常和@Entity配合使用,只能标注在实体的class定义处,表示实体对应的数据库表的信息。@Entity(name=“EntityName”)必须,用来标注一个数据库表对应的实体,数据库中创建的表明默认和类名一致,其中,name可选,对应数据库中的一个表,使用此注解标记Pojo是一个JPA实体。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值