【漏洞复现】Progress Flowmon 命令注入漏洞CVE-2024-2389

最新推荐文章于 2024-05-20 17:20:00 发布
最新推荐文章于 2024-05-20 17:20:00 发布
阅读量188 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 网络安全 web安全 漏洞复现 安全测试 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/138175538
版权

漏洞描述

Progress Flowmon 命令注入漏洞
Progress Flowmon 是一个网络性能监控工具平台。2024年4月互联网上披露其存在前台命令注入漏洞,攻击者可利用该漏洞执行任意命令,控制服务器。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

漏洞集合

【传送点】上千漏洞复现复现集合 exp poc 持续更新

资产确定

body="Flowmon-Web-Interface"

漏洞复现

向靶场发送如下数据包,其中ping+dnslog地址需要修改成自己dnslog地址


                

                
                
        

        

    




        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  丢了少年失了心1
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          

                

                        订阅专栏
                










                



	

		

			

				
					
Progress Flowmon 未授权RCE漏洞复现(CVE-2024-2389)

				
			

			

				

					0xSec
				

				

					04-11
					
					728
					
				

			

		

		

			
				
未经身份验证的远程攻击者可以访问 FlowmonWeb 界面,以发出精心设计的 API 命令,该命令将允许在未经身份验证的情况下执行任意系统命令,获取服务器权限。

			
		

	



                

              
                



	

		

			

				
					
基于python开发端口扫描工具_网络端口扫描器python代码

				
			

			

				

					m0_60607289的博客
				

				

					04-09
					
					981
					
				

			

		

		

			
				
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!

			
		

	



                


  
              

                


	

		

			

				
					
Jenkins任意文件读取CVE-2024-23897

				
			

			

				

					2301_76567007的博客
				

				

					01-30
					
					527
					
				

			

		

		

			
				
发现jenkins登录页面。然后利用poc成功读取。

			
		

	





	

		

			

				
					
[CVE-2024-23897]Jenkins CLI 任意文件读取漏洞导致远程代码执行漏洞

				
			

			

				

					whoami
				

				

					01-26
					
					3816
					
				

			

		

		

			
				
Jenkins 受影响版本中使用 args4j 库解析CLI命令参数,该库默认将参数中 @ 字符后的文件路径替换为文件内容,攻击者可利用该特性使用 Jenkins 控制器进程的默认字符编码读取 Jenkins 控制器文件系统上的任意文件(如加密密钥的二进制文件),并结合 Resource Root URL、Remember me cookie、存储型 XSS 或 CSRF 等在 Jenkins 控制器中执行任意代码。Jenkins CLI 是 Jenkins 内置的命令行页面。

			
		

	



		

			
		



	

		

			

				
					
Github 2024-01-31 开源项目日报 Top10

				
			

			

				

					老孙正经胡说
				

				

					01-31
					
					1245
					
				

			

		

		

			
				
根据Github Trendings的统计,今日(2024-01-31统计)共有10个项目上榜。

			
		

	





	

		

			

				
					
漏洞复现-wordpress RCE-CVE-2024-25600

				
			

			

				

					qq_73648490的博客
				

				

					02-26
					
					1076
					
				

			

		

		

			
				
wordpress 远程代码执行!!1

			
		

	





	

		

			

				
					
CVE-2022-33891POC
Apache Spark 命令注入CVE-2022-33891)POC

				
			

			

				

					08-10
				

			

		

		

			
				
CVE-2022-33891POC Apache Spark 命令注入CVE-2022-33891)POC CVE-2022-33891  影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0  修复方案 1.建议升级到安全版本,参考官网链接: ...

			
		

	





	

		

			

				
					
Apache Spark 命令注入CVE-2022-33891)格式化文档

				
			

			

				

					08-10
				

			

		

		

			
				
Apache Spark 命令注入CVE-2022-33891)漏洞复现 CVE-2022-33891POC Apache Spark 命令注入CVE-2022-33891)POC CVE-2022-33891  影响版本 Apache spark version 3.1.1版本 Apache Spark version>= 3.3.0  修复...

			
		

	





	

		

			

				
					
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》

				
			

			

				

					weixin_59086772的博客
				

				

					10-18
					
					8230
					
				

			

		

		

			
				
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。

今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。







一、网络安全行业市场发展情况

网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.

			
		

	





	

		

			

				
					
一表捋清网络安全等级保护测评要求

				
			

			

				

					weixin_45840241的博客
				

				

					05-15
					
					559
					
				

			

		

		

			
				
对于中小企事业单位来说,网络安全建设是一个复杂且投入较高的过程,因此他们更倾向于寻找一种“省心省力”的等保建设方案,以及一种能够持续有效且具有较高性价比的网络安全建设投入方式。通过采用等保一体机方案,客户能够根据自身需求定制所需的安全能力,例如等保二级能力与行为管理能力的结合,等保三级能力与远程安全接入能力的结合等。等保安全套餐方案一直致力于构建“一站式省时省力过等保,安全有效且具有高性价比”的优势,以更好地满足中小企事业单位的网络安全建设需求。导致的安全设备闲置或无法满足等保要求等。

			
		

	





	

		

			

				
					
web安全之登录框渗透骚姿势,新思路

				
			

			

				

					qq_47289634的博客
				

				

					05-10
					
					588
					
				

			

		

		

			
				
越权漏洞的挖掘大部分是通过对比两个用户的请求包以及响应包,来观察不同之处,有的时候替换一下响应包就直接越权,其中特别要关注的是uid,这里在挖掘逻辑漏洞和越权漏洞时建议使用burp中的compare模块进行两个数据包的比对,非常直观。width=500&height=100导致可以随意更改大小,配合脚本批量请求,很容易就会把带宽占满,造成dos攻击。不管漏洞挖掘还是挖SRC,登录框都是重点关注对象,什么漏洞都有可能出现,登录框也是框,见框就插就对了,说不定会有奇效。看到登录框,输入信息后,抓包。

			
		

	





	

		

			

				
					
Upstream最新发布2024年汽车网络安全报告-百度网盘下载

					
最新发布

				
			

			

				

					qq_18209847的博客
				

				

					05-20
					
					195
					
				

			

		

		

			
				
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。

			
		

	





	

		

			

				
					
了解网络安全行业内有哪些公司?

				
			

			

				

					aheyor的博客
				

				

					05-14
					
					919
					
				

			

		

		

			
				
https://wenku.baidu.com/view/8de38c790440be1e650e52ea551810a6f424c80f?aggId=f2f58cc8e618964bcf84b9d528ea81c758f52ecc&fr=catalogMain_text_ernie_recall_feed_index%3Awk_recommend_main4&_wkts_=1715651666515&bdQuery=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85

			
		

	





	

		

			

				
					
【实事】——《2024网络安全报告》

				
			

			

				

					weixin_65728773的博客
				

				

					05-14
					
					619
					
				

			

		

		

			
				
尽管如此,我们也必须做出改变,否则就会像2023年所看到的那样,领先的企业提早采用新技术,落后的企业努力跟上信任和安全基础能力的步伐,以及网络生态系统内分散的激励机制,这些都将在未来几年加速数字鸿沟。在低收入的企业中,有52%的领导者表示,缺乏资源和技能是他们在设计网络弹性时面临的最大挑战。56%的领导者表示,在未来两年内,生成式人工智能将成为网络攻击者的工具。在不断变化的网络安全环境中,地缘政治的不稳定性、技术的飞速发展以及企业网络能力差距的日益扩大,都强化了建立网络弹性和实现系统化全球协作的必要性。

			
		

	





	

		

			

				
					
OpenSSL命令注入漏洞CVE-2022-1292)

				
			

			

				

					07-28
				

			

		

		

			
				
回答: OpenSSL命令注入漏洞CVE-2022-1292)是指在OpenSSL 1.0.2版本中存在的漏洞。为了修复这个漏洞,你需要将OpenSSL 1.0.2升级到SSL 3版本。首先,你可以使用以下命令查看OpenSSL的版本信息:\[1\]

```
openssl version
```

然后,你可以从OpenSSL官方网站下载SSL 3的升级包。下载地址可以在官方网站上找到。\[2\]你可以使用以下命令下载升级包:

```
wget https://www.openssl.org/source/openssl-3.0.5.tar.gz
```

下载完成后,解压升级包并进入解压后的目录:

```
tar -zxvf openssl-3.0.5.tar.gz
cd openssl-3.0.5/
```

接下来,你可以使用以下命令进行编译和安装:

```
./config shared zlib
make
make install
```

在安装之前,建议备份原始文件。安装完成后,你可以添加新的OpenSSL软连接,并将编译后的库文件写入so库配置文件。具体操作可以参考相关文档或官方指南。\[2\]

请注意,升级OpenSSL可能会对系统产生影响,请确保在操作之前备份重要数据,并在升级过程中谨慎操作。
#### 引用[.reference_title]
-  *1* *2* *3* [openssl 漏洞升级 (CVE-2015-4000/CVE-2022-1292)](https://blog.csdn.net/qq_44637753/article/details/126829820)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item]
[ .reference_list ]

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
丢了少年失了心1

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值