360新天擎未授权访问数据库名及表名漏洞exp

已于 2023-09-01 17:08:35 修改
阅读量680 收藏 1
点赞数
分类专栏: POC/EXP 文章标签: poc exp 新天擎
于 2023-06-26 17:09:39 首次发布
本文链接:https://blog.csdn.net/weixin_59679023/article/details/131401590
版权
该博客介绍了如何利用fofa脚本爬取360新天擎相关资产,并通过一个特定的expbin脚本进行未授权访问数据库名和表名的漏洞检测。步骤包括运行fofa脚本获取资产信息,然后使用expbin对收集的资产进行扫描,以揭示潜在的安全风险。
摘要由CSDN通过智能技术生成
Cwillchris
关注
专栏目录
订阅专栏
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞
weixin_43567873的博客
03-09 198
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞
漏洞复现】360天擎 - 授权与sql注入
最新发布
失心少年
07-31 161
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!比较推荐的方式先测试是否存在数据库信息泄露,存在的话大概率存在SQL注入。路由后拼接/api/dbstat/gettablessize。360天擎 - 授权与sql注入。
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞
m0_46699477的博客
07-19 2287
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。
2021HW — 360天擎漏洞
战神/calmness的博客
04-13 3761
FOFA搜索 1、授权访问 http://X.X.X.X/api/dbstat/gettablessize 2、授权访问 3、延时注入 http://1XXXX/api/dp/rptsvcsyncpoint?ccid= GET /api/dp/rptsvcsyncpoint?ccid=';SELECT PG_SLEEP(5)-- HTTP/1.1 Host: XXXXXXXXXXX Cache-Control: max-age=0 Upgrade-Ins.
CNVD-2020-62853 360天擎终端安全管理系统越权访问漏洞复现
afei001
04-24 2027
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 FOFA实战复现 4.2 360_Day-with_Unauthorized_POC-2.py 5.漏洞修复 声明:以下脚本具有攻击性,请勿非法使用,否则后果自负。请勿进行非授权测试,否则后果自负。 1.漏洞概述 360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、...
天擎终端安全管理系统授权访问&SQL注入漏洞
千寻的博客
05-06 3380
文章目录漏洞名称漏洞描述影响版本FOFA漏洞复现授权复现第一步 查看漏洞点第二步 查看越权访问sql注入复现第一步 sql注入点第二步 延时注入修复建议 漏洞名称 天擎终端安全管理系统授权访问&SQL注入漏洞 漏洞描述 天擎终端安全管理系统是面向政企单位推出的一体化终端安全产品解决方案。 该产品集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容不同操作系统和计算平台,帮助客户实现平台一体化、功能一体化、数据一体化的终端安全立体防护; 天擎终端安全管理系统存在
360新天擎数据库及表授权访问漏洞exp
06-26
-u 指定单个url -l 指定url文件 先用fofa脚本爬取所有360新天擎相关资产 python3 fofa-cwillchris.py -k title="360新天擎" 将上面爬取到的文件(一般是final****.txt)..../360新天擎数据库及表授权.bin -l 1.txt
wgpsec#peiqi-wiki#天擎 授权越权访问1
07-25
天擎 数据库信息泄露漏洞漏洞描述天擎 存在授权越权访问,造成敏感信息泄露漏洞影响天擎漏洞复现已上传
漏洞复现】奇安信-360天擎终端管理系统-rptsvr-任意文件上传
知黑而守白
01-18 637
360天擎终端安全管理系统是360面向政府、企业、金融、军队、医疗、教育、制造业等大型企事业单位推出的集防病毒与终端安全管控于一体的解决方案。360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审计、XP盾甲防护诸多功能。
360天擎终端安全管理系统V6.0-R6安装部署手册(V2019.08.30).pdf
08-05
该手册为360天擎官方教程,版本为V6.0。教程详细介绍了Windows端和Linux端的安装部署过程
360天擎sql注入&&授权访问
weixin_43227251的博客
04-14 3600
天擎 前台SQL注入 漏洞描述 天擎 存在SQL注入,攻击者可以通过漏洞上传木马 FOFA指纹 title=“360新天擎漏洞复现 漏洞地址 /api/dp/rptsvcsyncpoint?ccid=1 注入写shell: sqlmap python sqlmap.py -u https://x.x.x.x:8443/api/dp/rptsvcsyncpoint?ccid=1 --dbms PostgreSQL 天擎 数据库信息泄露漏洞 漏洞描述 天擎 存在授权越权访问,造成敏感信息泄露 漏洞复现
360新天擎终端安全系统信息泄露漏洞poc脚本批量验证
weixin_43802646的博客
09-14 1438
360新天擎终端安全系统是面向行政单位的一系列产品安全处理方案,该终端安全系统存在授权访问漏洞,导致一定敏感信息泄露。
漏洞复现--奇安信360天擎rptsvcsyncpointSQL注入
qq_53003652的博客
11-10 856
天擎基于奇安信全新的“川陀”终端安全平台构建,集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能,帮助政企客户构建持续有效的终端安全能力。该产品存在SQL注入漏洞,攻击者可通过此漏洞获取服务器权限。注入点在ccid,且数据库为PostgreSQL。
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞(含批量验证poc
2301_82101171的博客
04-16 333
天擎 rptsvcsyncpoint 存在SQL注入漏洞
天擎终端安全管理系统clientinfobymid存在SQL注入漏洞
3tefanie丶zhou的博客
12-29 1421
【故事、故事,便是故去的事情了,多说无益。】
奇安信360天擎getsimilarlist存在SQL注入漏洞
holyxp的博客
11-09 1002
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。通过“体系化防御、数字化运营”方法,帮助政企客户准确识别、保护和监管终端,并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务 [1] 。 [2] 天擎基于奇安信全新的“川陀”终端安全平台构建,集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能
漏洞复现--奇安信360天擎授权访问
qq_53003652的博客
11-10 783
天擎基于奇安信全新的“川陀”终端安全平台构建,集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能,帮助政企客户构建持续有效的终端安全能力。该产品存在授权访问,可造成数据库信息泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cwillchris

你的鼓励将让我产出更多优质干货

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值