mojoPortal 路径穿越漏洞复现（CVE-2025-28367）（附脚本）

最新推荐文章于 2025-04-25 09:13:42 发布

iSee857

最新推荐文章于 2025-04-25 09:13:42 发布

阅读量55

点赞数

分类专栏：漏洞复现文章标签：安全 web安全

本文链接：https://blog.csdn.net/xc_214/article/details/147443635

版权

漏洞复现专栏收录该内容

353 篇文章 ¥19.90 ¥99.00

订阅专栏

超级会员免费看

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

前言：

我们建立了一个更多，更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。

更多详情：

https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X<

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

iSee857

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

mojoPortal 接口imagehandler任意文件读取漏洞(CVE-2025-28367)

m0_50125527的博客

04-23

154

mojoPortal 是一款基于 .NET 平台开发的开源内容管理系统（CMS）和 Web 应用框架，适用于构建各类网站、社区门户和在线业务平台。该系统采用模块化设计，提供多站点管理、角色权限控制、表单生成器、博客、论坛等丰富功能，并支持 SQL Server 和 MySQL 等多种数据库。mojoPortal 具有高度可扩展性，开发者可通过自定义模块和主题灵活适配企业、教育机构及个人用户的建站需求，其开源特性允许用户自主修改代码以满足特定业务场景。

无胁科技-TVD每日漏洞情报-2022-10-9

wuthreat无胁科技的博客

10-09

396

参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?

参与评论您还未登录，请先登录后发表或查看评论

开源Asp.net CMS mojoPortal-源码运行

weixin_30252709的博客

05-31

118

1、下载mojoPortal源码下载地址:http://mojoportal.codeplex.com/SourceControl/latest 我下载的版本是：2.4.0.9 MSSQL 以下是mojoPortal项目结构 2、还原NuGet程序包,因为包都在国外服务器，经常出现“还原失败”，这是连接不上的原因，多还原几次即可安装成功: 3、建立...

mojoPortal-provider模式学习之1.1 --IndexBuilderConfiguration

weixin_30808575的博客

04-23

使用provider模式的第三步为建立Provider Configuration 类在mojoPortal中索引provider中相关类为IndexBuilderConfiguration 这个类的主要作用是读取配置文件中所有相关provider的信息。代码如下 1publicclassIndexBuilderConfiguration...

mojoPortal-provider模式学习之1.1之IndexBuilderManager

weixin_30551963的博客

04-23

第四步 Provider Manager 类这个类根据第三步中的 Provider Configuration类中的配置信息，实例化Provider. publicsealedclassIndexBuilderManager { //privatestaticboolisInitialized=false; ...

mojoPortal 简介

weixin_30875157的博客

08-01

401

mojoPortal 是一个开源的、用 C# 编写的站点框架和内容管理系统，可以运行在 Windows 中的 ASP.NET 和 Linux/Mac OS X 中的 Mono 下。当前的特性遵循 XHTML 的内容管理用 WebParts 个性化自己的页面博客论坛事件日历(Event Calendar ) ...

ASP.NET资源大全-知识分享

bangchiyu4233的博客

08-03

831

转自：http://www.cnblogs.com/Agui520/p/9396463.html ASP.NET资源大全-知识分享 API 框架 NancyFx：轻量、用于构建 HTTP 基础服务的非正式（low-ceremony）框架，基于.Net 及 Mono 平台。官网 ASP.NET WebAPI：快捷创建 HTTP 服务的框架，可以广泛用于...

mojoPortal在codeplex上的站点

weixin_33858485的博客

08-01

mojoPortal 是一个开源的、用 C# 编写的站点框架和内容管理系统，可以运行在 Windows 中的 ASP.NET 和 Linux/Mac OS X 中的 Mono 下。可替换的数据访问层支持 MS SQL、MySQL、PostgreSQL、SQLite 和 FirebirdSQL，支持基于数据库、Active Directory, OpenL...

ASP.NET资源大全-知识分享【转载】

weixin_30808693的博客

07-31

648

API 框架 NancyFx：轻量、用于构建 HTTP 基础服务的非正式（low-ceremony）框架，基于.Net 及 Mono 平台。官网 ASP.NET WebAPI：快捷创建 HTTP 服务的框架，可以广泛用于多种不同的客户端，包括浏览器和移动设备。官网 ServiceStack：架构缜密、速度飞快、令人愉悦的 web 服务。官网 Nelibur：Nelibur 是一个...

mojoPortal-开源

05-09

mojoPortal是一个用C＃ASP.NET编写的可访问，兼容，可扩展，跨平台，跨数据库，内容管理系统CMS。如果您知道如何制作ASP.NET UserControl，那么您已经知道如何制作插入mojoPortal的功能

mojoportal-2.4.1.0建站CMS源码

03-07

MojoPortal是一款功能丰富的开源内容管理系统（CMS），适用于构建企业网站、社区门户和个人博客等多种类型的在线平台。...下载mojoportal-2.4.1.0压缩包后，你可以开始探索并利用这些功能来构建你的在线平台。

mojoportal:mojoPortal 是用 C# ASP.NET 编写的可扩展、跨数据库、移动友好、Web 内容管理系统 (CMS) 和 Web 应用程序框架

08-05

mojoPortal 是一个用 C# ASP.NET 编写的可扩展、跨数据库、移动友好、Web 内容管理系统 (CMS) 和 Web 应用程序框架。特征、日历民意调查商业特色付费专区类似于kickstarter的筹款系统更多信息请访问...

实战！银河麒麟 KYSEC 安全中心执行控制高级配置指南

最新发布

鹏大圣运维

04-25

702

在信创环境下，为了提升系统安全性，银河麒麟内置了 KYSEC 安全标签系统，通过执行控制（exectl）机制，我们可以对脚本、应用程序进行可信授权、白名单控制，防止恶意程序运行。银河麒麟操作系统的 KYSEC 安全中心提供了强大的执行控制能力，既支持图形化设置，也支持命令行批量管理，是信创场景下提升操作系统主动防护能力的重要工具。在默认配置下，当你执行一个普通脚本（例如 test.sh）时，系统会弹出安全中心的授权对话框，要求确认“是否允许执行”。就需要通过高级配置来提前授信，设置执行控制标签。

LibrePhotos本地部署打造个人云相册安全存储和分享家庭照片(1)

YYDsis的博客

04-24

1119

手机里塞满了珍贵回忆，却担心一不小心就被偷看？别怕，今天我就教你一个绝招——使用自建私有云相册。这不仅比Google Photos更安全可控，还无需公网IP或域名，因为咱们有cpolar这个神器来帮忙打通内网壁垒！跟着我一起，让你的照片管理从此变得既酷又安全吧！

SMB协议

m0_68037567的博客

04-22

568

SMB是用于局域网内资源共享的协议，支持文件传输、打印机访问和进程间通信，常见于Windows系统（如Windows共享文件夹）。使用Wireshark抓包，分析SMB流量中的异常请求（如畸形数据包、高频连接）。：攻击者截获SMB认证流量（NTLM哈希），并中继到其他服务器，冒充合法用户。部署IPS/IDS，配置规则检测SMB攻击流量（如Suricata规则）。：攻击者利用未修复的SMB漏洞（如CVE-2017-0144）。：攻击者通过SMB在内网传播恶意软件（如勒索软件、蠕虫）。

嵌入式软件测试的革新：如何用深度集成工具破解效率与安全的双重困局？

fzm5298的博客

04-22

836

某工业机器人厂商将winAMS的CSV测试集与Simulink生成的预期输出对比，发现了PID控制算法中一个累积误差未被清零的缺陷，该问题在仿真环境中因浮点精度差异始终未被察觉。或许，这就是为什么一位资深工程师在技术论坛中这样评价：“用了winAMS后，我们终于不用在深夜手动补测试用例了——它像一位沉默的搭档，默默扛起了那些重复却至关重要的工作。某国内新能源车企的测试团队反馈，通过winAMS的路径分析功能，他们发现某电机控制函数在低温条件下的一个异常分支未被覆盖，成功避免了潜在的车载控制器死机风险。

了解低功耗蓝牙中的安全密钥

技术超强的网络安全平台

04-24

1135

如果生成的签名与附加到数据的签名匹配，则确认数据的完整性和真实性。这就像一封信被一个独特的蜡封封住一样——当设备接收到数据时，它会检查蜡封，如果匹配，它就知道数据是真实的，没有被篡改过。在深入研究低功耗蓝牙 (LE) 技术如何使用安全密钥（图 1）的具体细节之前，让我们先回顾一下，通过了解安全密钥是什么来奠定基础，特别是对于那些刚刚进入有趣的密码学世界的人来说。因此，解析结果成功。身份地址是一个唯一的、恒定的地址，可以是公开的（在制造过程中分配），也可以是静态的（随机选择，但在设备重启后保持不变）。

XML&XXE 安全&无回显方案&OOB 盲注&DTD 外部实体&黑白盒挖掘

2302_80396242的博客

04-21

549

的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网扫描、攻击内网等危。不仅在数据传输上可能存在漏洞，同样在文件上传引用插件解析或预览也会造成。选）、文档元素，其焦点是数据的内容，其把数据从。被设计为传输和存储数据，其焦点是数据的内容。类型或数据传输类型，均可尝试修改后提交测试。被设计用来显示数据，其焦点是数据的外观。、可通过应用功能追踪代码定位审计。、可通过脚本特定函数搜索定位审计。、可通过伪协议玩法绕过相关修复等。分离，是独立于软件和硬件的。被设计为传输和存储数据，输入时，没禁止外部实体。

拆解大模型“越狱”攻击：对抗样本如何撕开AI安全护栏？

2301_80552914的博客

04-23

561

该文章首发于奇安信攻防社区：https://forum.butian.net/share/4254。