H37-1杭州吉拉-LVS精益价值管理系统-SQL 漏洞描述: LVS精益价值管理系统 /ajax/LVS.Web.AgencytaskList,LVS.Web.ashx 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控
H35-1HSC-Mailinspector-任意文件读取 漏洞描述: 由于HSC Mailinspector /public/loader.php文件中存在的路径遍历漏洞,path参数无法正确筛选传递的文件和目录是否为webroot的一部分,从而使未经身份验证的攻击者能够读取服务器上的任意文件,造
H34-2翰智-员工服务平台-SQL 漏洞描述: 由于翰智员工服务平台登录接口 loginByPassword 处userName字段未对传入的数据进行严格校验和过滤,直接带入到数据库执行,导致造成SQL注入漏洞,未经身份验证的远程攻击者可利用此漏洞获取数据库敏感信息,获取有效凭证及口令,使系统处于
H33-2号卡极团-分销管理系统-任意文件上传 漏洞描述: 号卡极团分销管理系统 ue_serve.php 存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。 网站图片: fofa语法: icon_hash=“-79529
H33-1号卡极团-分销管理系统-SQL 漏洞描述: 号卡极团分销管理系统 /order/index.php 接口存在SQL注入漏洞,未经身份验证攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取
H29-1海康-运行管理中心-RCE 漏洞描述: 海康运行管理中心系统使用低版本的fastjson,攻击者可在未鉴权情况下获取服务器权限,且由于存在相关依赖,即使服务器不出网无法远程加载恶意类也可通过本地链直接命令执行,从而获取服务器权限。 网站图片: 网络测绘: fofa语法: header=“X
H28-1海翔-云平台-SQL 漏洞描述: 成都海翔软件有限公司海翔药业云平台存在sql注入,攻击者可利用此漏洞查询数据、获取系统信息,造成数据及其它安全风险。 网站图片: 网络测绘: fofa语法: title==“登录海翔” 漏洞复现: payload: POST /getylist_login
H26-1H3C-CVM-文件上传 漏洞描述: H3C CVM /cas/fileUpload/upload接口存在任意文件上传漏洞,未授权的攻击者可以上传任意文件,获取 webshell,控制服务器权限,读取敏感信息等。 网站图片: 网络测绘: fofa语法: FOFA:app=“H3C-CVM”
H25-2鸿宇-多用户商城-SQL 漏洞描述: 鸿宇多用户商城 scan_list.php 文件 data['fahuo'] 参数存在 SQL 注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进
H24-1Honeywell-PM43-RCE 漏洞描述: Honeywell PM43 P10.19.050004之前版本存在输入验证错误漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。 影响版本: Honeywell Pm43_Firmware
H25-1鸿宇-多用户商城-RCE 漏洞描述: 鸿宇多用户商城 user.php 存在任意命令执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。 网站图片: 网络测绘: fofa语法: FOFA:body=“content=HongYuJD
H23-3红海云-EHR系统-SQL 漏洞描述: 红海云eHR系统pc.mob存在sql注入漏洞 fofa语法: body=“/RedseaPlatform/skins/upload/images/favicon.ico” 漏洞复现: payload: GET /RedseaPlatform/goA
H23-2红海云-EHR系统-任意文件上传 漏洞复现: payload: POST /RedseaPlatform/PtFjk.mob?method=upload HTTP/1.1 Host: x.x.x.x Accept-Encoding: gzip User-Agent: Mozilla/
H23-1红海云-EHR系统-文件上传 漏洞描述: 红海云EHR系统PtFjk.mob接口处存在未授权文件上传漏洞,攻击者可上传webshell来命令执行,获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:body=“/RedseaPlatform/skins/upload/ima
H21-1海康威视-对讲广播系统-RCE 漏洞描述: Hikvision Intercom Broadcasting System 3.0.3_20201113_RELEASE(HIK)版本存在操作系统命令注入漏洞,该漏洞源于文件/php/ping.php的参数jsondata[ip]会导致操作系统
H22-1禾匠-榜店商城系统-RCE 漏洞描述: 某商城系统的api/testOrderSubmit模块下的preview方法存在命令执行漏洞,攻击者可以向服务器写入木马文件,直接获取服务器权限 网站图片: 网络测绘: fofa语法: FOFA:body=“const _scriptUrl” 漏洞复
H20-2湖南建研-信息工程质量检测系统-文件上传 漏洞描述: 湖南建研信息工程质量检测系统upload.ashx接口处存在文件上漏洞,未授权的攻击者可通过此漏洞上传恶意后门文件,执行恶意命令获取 网站图片: 网络测绘: fofa语法: body=“/Content/Theme/Standard/w
H20-1湖南建研-信息工程质量检测系统-文件上传 漏洞描述: 湖南建研信息工程质量检测系统/Scripts/admintool接口处存在文件上漏洞,未授权的攻击者可通过此漏洞上传恶意后门文件, 获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:body=“/Content/The
H19-1海康威视-安全接入网关-任意文件读取 漏洞描述: 海康威视安全接入网关使用Jquery-1.7.2 , 该版本存在任意文件读取漏洞,可获取服务器内部敏感信息泄露(安博通应用网关也存在此漏洞) 网站图片: 网络测绘: fofa语法: (body=“webui/js/jquerylib/jqu
H18-4华天动力-OA-任意文件读取 漏洞复现: payload: GET /OAapp/jsp/downloadWpsFile.jsp?fileName=./././htoa/Tomcat/webapps/ROOT/WEB-INF/web.xml HTTP/2 Host: User-Agent
