首页 > 其他分享 >【漏洞情报】泛微 E-Cology KtreeUploadAction 文件上传漏洞

【漏洞情报】泛微 E-Cology KtreeUploadAction 文件上传漏洞

时间:2024-06-17 23:04:14浏览次数:30  
标签:大家 提供 圈子 知识库 KtreeUploadAction 漏洞 Cology 我们

声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢!

01 漏洞描述

泛微OA E-Cology KtreeUploadAction 存在文件上传漏洞

02 漏洞环境

Quake语法:app:"e-cology"

03 漏洞复现

构造payload发送请求

验证访问

04 漏洞修复建议

打补丁,升级到安全版本 

05 nuclei批量检测

06 圈子服务介绍

无论你是新手还是行业老手,我们都致力于为你提供最新、最优质的安全资源和交流平台。立即加入Sec探索者专属的内部圈子,与我们一起探索安全领域的无尽可能性!以下是我们圈子为内部成员提供的核心服务:

1、最新漏洞情报:提供最新的漏洞情报,第一时间复现和分析互联网暴露的重点高危漏洞,确保大家能第一时间掌握最新的漏洞动态

2、内部漏洞知识库:漏洞知识库正在持续建设中,我们将会提供详细的漏洞复现教程和poc,帮助大家深入理解漏洞的工作原理和利用方式。所有漏洞都是我们自己成功复现才会添加到知识库中,减少大家试错时间成本,我们将收集相对完整的漏洞信息、漏洞描述、分析以及针对每个漏洞的利用方法和防护建议,致力于打造一个全面且专业的漏洞知识库。 

3、漏洞综合利用工具:提供多种漏洞利用工具,这些工具经过内部严格测试和大家的反馈,确保其有效性和安全性。无论大家是在进行渗透测试、漏洞验证,还是其他安全研究,这些工具都能为大家提供强有力的支持。

4、会员账号共享:我们提供空间测绘高级会员账号,方便大家用于资产收集;提供CMD5会员服务,用于解密MD5哈希值;我们提供短信接码平台,帮助大家在各种网络活动中进行手机号码验证。

5、圈子互动:每个人都可以成为内部圈子中的一员,这里有志同道合的朋友,大家可以相互分享经验、探讨问题,共同进步。无论大家在使用工具、访问知识库,还是进行其他活动中遇到问题,都可以随时联系我们,我们将竭诚为大家服务。

6、更多资源分享:我们会分享最新的安全资源,包括报告、工具、代码样本等,让大家始终能够获得前沿的信息和资源。随着成员人数的增加,我们提供的资源也会越来越多。我们将不断丰富和更新我们的服务内容,以满足大家不断增长的需求。 

加入内部圈子(好的资源永远都在小圈子里面),我们期待与大家一起共同成长,探索网络安全的无限可能! 

也欢迎各位师傅们进我们公开的交流群,有任何技术问题都可以在群内进行交流讨论,进群方式如下pitaya微信号:Ff39959需要进群请加运营备注 加群 哦

标签:大家,提供,圈子,知识库,KtreeUploadAction,漏洞,Cology,我们
From: https://blog.csdn.net/Wulai399/article/details/139737717

相关文章

  • 申瓯通信 在线录音管理系统 download 任意文件读取漏洞复现
    0x01产品简介申瓯通信在线录音管理系统是一款功能强大的录音管理解决方案,旨在满足公司、集团单位在区域分布下对录音数据的集中管理需求。该系统基于SOC1900、SOC1600等系列录音盒开发,是一个多线路、多设备、多区域的录音统一管理平台。该系统将各个分点的录音盒的录音统一集......
  • 致远互联FE协作办公平台 ncsubjass SQL注入致RCE漏洞复现
    0x01产品简介致远互联FE协作办公平台是一款为企业提供全方位协同办公解决方案的产品。它集成了多个功能模块,旨在帮助企业实现高效的团队协作、信息共享和文档管理。0x02漏洞概述致远互联FE协作办公平台ncsubjass.jsp接口处存在SQL注入漏洞,未经身份验证的攻击者可以通过......
  • 「一个wfuzz应用案例」拿到目录遍历漏洞后用wfuzz爆破
    ┌──(root㉿kali)-[~]└─#wfuzz-uhttp://XXX.XXX.XXX.XXX/mailinspector/public/loader.php?path=../../../../../../..FUZZ-w~/weapons/http-payloads/linux_dir.txt--hl0*********************************************************Wfuzz3.1.0-TheWebFuzzer......
  • 基于Python+scopy实现的渗透测试工具对网站URL以及端口进行漏洞检测系统
    目录摘要2Abstract3第1章绪论51.1研究背景与意义51.2国内外研究现状和发展趋势51.3本论文主要工作及组织结构61.3.1论文主要研究工作61.3.2论文的组织结构6第2章web安全评估及测试的介绍82.1渗透测试82.2web安全评估8第3章渗透测试及安......
  • Vulhub WebLogic漏洞复现
    目录前言任意文件上传漏洞(CVE-2018-2894)管理控制台未授权RCE漏洞(CVE-2020-14882&CVE-2020-14883)未授权RCE漏洞(CVE-2023-21839)SSRF漏洞(CVE-2014-4210)前言前面两篇针对WebLogic存在的XMLDecoder和T3协议反序列化漏洞进行了分析和复现,这里继续借助vulhub来复现WebLogic的其他漏洞......
  • 红日复现为什么失败之struct漏洞复现
    struts2漏洞一、指纹识别s2的url路径组成(详见struts.xml配置文件):name工程名+namespace命名空间+atcion名称+extends拓展名部署在根目录下,工程名可为空;当然namespace名称也可设置为空;拓展名也可设置为空。方法一(1)url会有.action或.do后缀文件名(eg:http://192.168.xx.xx/integ......
  • 6.13API接口服务类漏洞探针
    ip地址解析:www.x.x.x.com,对应网站目录为d:/wwwroot/xiaodi/而127.x.x.x,对应网站目录为d:/wwwroot/,可能存在网站备份文件zip,所以ip网址端口都的扫描;协议端弱口令爆破:超级弱口令检查工具;端口服务安全问题(用于无思路时)思路:利用探针对端口探测后,对口令安全、Web漏洞、中间......
  • 2024.6.10漏洞探针
    探针(扫描器)1、nmap漏洞库,根目录下scripts中调用2、Goby(红队版)直接输入ip扫描资产,漏洞库较少;3、Nessus本地安装:下载安装普通版;注册获取验证码;注册用户nessus,nessus123漏洞利用1、工具框架metasploit和searchsploit忍者系统可以一键使用msf;2、单点exp(漏洞库)cnvd、s......
  • 6.12Web应用漏洞发现探针利用
    已知CMS、开发框架、思路:各个页面查看数据包(地址信息),查看框架,上fofa关键字搜索(查看其框架信息如thinkhphp),利用检测工具测试漏洞情况;网站根目录下的robots.txt文件信息;/data/admin/ver.txt网站升级时间;常见SQL注入、登录、逻辑越权支付逻辑绕过思路:#https://blog.csdn.ne......
  • CSRF漏洞复现及测试工具讲解
    一、Python编写一个存在CSRF漏洞①编写html网页<!DOCTYPEhtml><html><head><metacharset="UTF-8"><metaname="viewport"content="width=device-width,initial-scale=1.0"><title>转账</title......