CVE 2019 16131 OKLite v1.2.25 任意文件上传漏洞

已于 2023-11-13 20:20:45 修改
阅读量78 收藏
点赞数
分类专栏: 漏洞库 文章标签: 安全
于 2023-10-27 11:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wj33333/article/details/134070503
版权

1.1漏洞描述

前言

OKLite v1.2.25 存在任意文件上传漏洞

漏洞编号CVE-2019-16131
漏洞类型 文件上传 
漏洞等级高危
产品OKLite
组件OKLite

1.2漏洞等级

高危

1.3影响版本

OKLite v1.2.25 版本

1.4漏洞复现

1.4.1.基础环境

VULFOCUS靶场搭建

1.4.2.前提

1.登录后台

 2.修改附件类型,添加php类型文件

3.这时我们就可以上传php文件

1.5深度利用

1.5.1GetShell

上传文件路径:http://10.9.47.6:55012/res/202310/27/0f45a3d28ef1bc34.php

中国蚁剑连接

1.6漏洞挖掘

1.6.1指纹信息

1.7修复建议

  • 升级

  • 打补丁

  • 上设备

wj33333
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OKLite 1.2.25 后台文件上传getshell
抚琴
01-08 421
OKLite是一套极简企业站系统,主要目标群体是展示型企业网站用户,让传统小企业快速布署网站,加强自身品牌意识,实现对公司形象的宣传。本系统最初是PHPOK程序精简而来。在同等配置下,OKLite速度优于PHPOK达30%以上。 通过上传任意文件漏洞,可以获得WebShell权限。 登录后台 admin admin123 把1.php压缩成1.zip <?php @eval($_POST[1]);?> 环境在我博客里下载docker ...
OKLite v1.2.25 任意文件删除漏洞CVE-2019-16132)
Darklord.W
11-19 759
OKLite v1.2.25 任意文件删除漏洞CVE-2019-16132) 漏洞描述: ​ An issue was discovered in OKLite v1.2.25. framework/admin/tpl_control.php allows remote attackers to delete arbitrary files via a title directory-traversal pathname followed by a crafted substring. 影响版本: ​ O
PHPOK轻型企业站OKLite v1.2.25
11-26
Lite版本的出现,出于精简需求使用!从市场出发,考虑绝大多数小企业站的需求。程序不仅仅只是P4的简化,还有一些自己的优化! 如:减少缓存文件(P4完整版第一次运行就有可能生
oklite 文件上传漏洞CVE-2019-16131
小小猪的博客
12-29 968
oklite 文件上传漏洞CVE-2019-16131漏洞简介: Ethan发现OKLite v1.2.25 存在任意文件上传漏洞(需要登录后台) 影响范围: OKLite v1.2.25 版本 环境搭建: 在线环境 地址 漏洞复现: 访问首页 访问后台 账号密码:admin admin 进行登录 进入管理模块,点击模块导入 创建一句话zip 将创建的zip进行上传 上传成功 进行访问 蚁剑进行连接 获得shell 漏洞修复: ...
漏洞复现-oklite-文件上传】vulfocus/oklite-cve_2019_16131
10-10 1288
oklite-文件上传】抓包获取文件上传路径
oklite 文件上传CVE-2019-16131漏洞复现
weixin_42675091的博客
09-03 756
oklite 文件上传CVE-2019-16131漏洞复现
OKLite文件上传 (CVE-2019-16131)
m0_65150886的博客
01-24 454
锟铻科技 OKLite v1.2.25版本中的framework/admin/modulec_control.php文件存在代码问题漏洞,该漏洞源于ZIP归档文件的.php文件可以写入到/data/cache/。锟铻科技 OKLite是中国锟铻科技公司的一套基于PHP的企业建站内容管理系统(CMS)。2.访问http://ip:port/admin.php?1.访问http://ip:port,出现如下页面,开始实验。4.模块管理-模块导入,导入1.zip,包含1.php。3.输入账号密码进行登录。
允许 WordPress 上传任意文件的方法
09-29
从 WP 2.8.5 开始文件上传使用预定义的文件扩展名列表过滤,管理员也不例外。
CVE-2019-0708漏洞利用脚本
01-10
自己下载到kali解压,参考文章https://blog.csdn.net/weixin_43742395/article/details/112432343
CVE-2019-16920:D-link RCE漏洞
systemino的博客
10-10 1729
简介 2019年9月,Fortinet FortiGuard实验室发现并报告了D-Link 产品中的有个非认证的命令注入漏洞——CVE-2019-16920,成功利用该漏洞可以导致远程代码执行。因为该漏洞可以在不经过认证的情况下远程触发,因此研究人员将该漏洞评为中危。 受影响的产品包括D-Link的: ·DIR-655 ·DIR-866L ·DIR-652 ·DHP-1565 ...
libssh2被发现整数溢出和越界读取漏洞(CVE-2019-13115)
systemino的博客
07-14 1252
libssh2是一个C函数库,用来实现SSH2协议。SSH2是一套安全通讯协议框架(早期的SSH1由于存在安全漏洞),基于SSH2协议的产品主要有openssh,putty,SSH Secure Shell Client等,这些都是开源的,但是这些代码非常难懂而且复杂,一个个函数深层次的调用很快就让人在C语言代码的海洋中迷失了方向,妄图通过从这些开源软件中抽取程序代码段来“组装”自己的应用程序是非...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1138
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
中小学校园EasyCVR视频综合监管方案:构建安全、智能的校园环境
TSINGSEE青犀视频官方技术博客
07-10 1181
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全
网络设备安全
最新发布
weixin_48579910的博客
07-11 910
交换机作为网络核心设备,其安全性直接影响到整个网络的稳定和安全。通过实施身份验证和访问控制、设备配置安全、VLAN安全、ARP欺骗防护、MAC地址安全、DHCP欺骗防护、STP安全、拒绝服务防护以及固件和软件更新等措施,可以有效防范各种安全威胁。结合使用适当的安全工具和技术,组织可以大幅提高其交换机的安全防护能力,保护网络基础设施和数据的安全。定期进行安全审计和更新,确保交换机和网络始终处于最佳安全状态。确保路由器的安全是保护整个网络基础设施和数据传输安全的关键。
[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约
rolt的专栏
07-10 811
系统的外部可观察行为和物理特征
wordpress任意文件上传(cve-2019-15866)
09-04
WordPress是一种广泛使用的内容管理系统(CMS),用于创建和管理网站。然而,在2019年的漏洞披露中发现了一个名为CVE-2019-15866的重要漏洞,该漏洞使得攻击者可以进行任意文件上传。 该漏洞的利用方式是通过特制的恶意请求,将恶意文件上传到WordPress网站的服务器上。攻击者可以上传包含恶意代码的文件,例如Web外壳或后门程序,以获取对网站的完全控制权。一旦攻击者获得对网站的控制,他们可以执行后续的恶意活动,例如操纵网站内容、传播恶意软件或窃取敏感信息。 为了防止CVE-2019-15866漏洞的利用,用户应该尽快升级他们的WordPress网站到最新版本。WordPress开发团队通常会在发现漏洞时发布安全更新,其中包括修复漏洞和加强系统安全性的补丁。使用最新版本的WordPress是最有效的预防措施之一。 此外,用户还可以采取其他安全措施来保护他们的WordPress网站。以下是一些建议: 1. 安装并更新信任的安全插件: 安装安全插件,如Wordfence或iThemes Security,并确保将其保持最新。这些插件可以帮助检测和预防恶意文件上传安全问题。 2. 设定强密码和安全验证: 使用强密码,包括字母、数字和特殊字符的组合,并启用二次验证功能(如果提供)以增加访问控制。 3. 限制文件上传:限制上传文件的类型和大小,仅允许所需的文件类型,并限制文件大小以防止攻击者上传恶意文件。 4. 定期备份网站文件和数据库:定期备份网站文件和数据库,以防止数据丢失,并确保在发生安全事件时能够进行恢复。 总结而言,CVE-2019-15866漏洞是一个严重的安全威胁,可以使攻击者上传任意文件到WordPress网站。用户应及时升级他们的WordPress版本,并采取额外的安全措施以保护他们的网站免受此漏洞的影响。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值