B14-1BladeX-企业级开发平台-SQL 漏洞描述: BladeX企业级开发平台 usual/list 存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
B13-1北京派网软件有限公司-Panabit-Panalog大数据日志审计系统-SQL 漏洞复现: payload: GET /Maintain/sprog_upstatus.php?status=1&id=1%20and%20updatexml(1,concat(0x7e,user()),0)&
B11-1百易云-资产管理运营系统-任意文件上传 漏洞描述: 百易云资产管理运营系统 comfileup.php 接口存在文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。 fofa语法: body=“不要着急,点此” 漏洞复现: payload: PO
B9-1碧海威-L7云路由无线运营版-RCE 漏洞描述: 碧海威L7 confirm.php、jumper.php接口处存在RCE漏洞,恶意攻击者可能利用此漏洞执行恶意命令,获取服务器敏感信息,最终可能导致服务器失陷。 影响版本: 碧海威科技-L7 网站图片: fofa语法: app=“碧海威科技-
B7-1百为-智能流控路由器-RCE 漏洞描述: 百为智能流控路由器 /goform/webRead/open 路由的 ?path 参数存在有回显的命令注入漏洞,未经身份认证的攻击者可以利用此漏洞执行任意指令,获取服务器权限。 网站图片: 网络测绘: fofa语法: FOFA:app=“BYTEVA
B6-1Bifrost-PermisssionAC 漏洞描述: Bifrost 中间件 X-Requested-With 存在身份认证绕过漏洞,未经身份认证的攻击者可未授权创建管理员权限账号,可通过删除请求头实现身份认证绕过,获取环境内配置各种数据库账户密码。 网站图片: 网络测绘: fofa语法:
B5-2百卓-Smart管理平台-SQL 漏洞描述: 百卓Smart管理平台 importexport.php 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系
B5-1百卓-Smart管理平台-文件上传 漏洞描述: 百卓Smart管理平台 uploadfile.php 接口存在任意文件上传漏洞。未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,执行任意指令,从而获得服务器权限并操纵服务器文件。 影响版本: smart_s210 smart_s210_fi
B4-1博华网龙-安全设备-RCE 漏洞描述: 中科博华是一家集科研、产品开发、技术服务、系统集成为一体的高科技企业,是国家商用密码产品定点生产单位,具有商用密码生产和销售许可证、3C认证、系统集成叁级资质、信息安全服务一级资质和涉密资质等。中科博华多个安全设备系统存在远程代码执行漏洞,攻击者通过漏
B3-1博斯软件-V6.0-SQL 漏洞描述: 福建博思软件股份有限公司博斯软件V6.0 log/logined.jsp存在SQL注入漏洞。 影响版本: 博斯软件V6.0 网站图片: 网络测绘: Hunter 语法: hunterweb.title:“欢迎使用 博斯软件” 漏洞复现: payload
B2-2邦永-项目管理系统-SQL 网站图片: fofa语法: body=“PM2项目管理系统BS版增强工具.zip” 漏洞复现: 延时5秒 payload: GET /Global/Global_UserLogin.aspx?accId=1%27%3BWAITFOR+DELAY+%270%3A0%
B2-1邦永-项目管理系统-SQL 漏洞描述: 邦永科技PM2项目管理平台Global_UserLogin.aspx接口处未对用户传入的参数未进行有效的过滤,直接拼接至SQL查询的语句中,导致SQL注入漏洞,攻击者可利用该漏洞获取数据库的敏感信息,深入利用可造成服务器失陷。 网站图片: 网络测绘:
B1-5美特-CRM-任意文件上传 漏洞描述: 美特CRM upload.jsp接口存在文件上传漏洞,未经身份验证的远程攻击者可利用此漏洞上传恶意后门文件,执行任意指令,从而获取服务器权限。 网站图片: fofa语法: body=“/common/scripts/basic.js” 漏洞复现: 漏洞
B1-4帮管家-CRM-文件上传 漏洞描述: 帮管客CRM是一款集客户档案、销售记录、业务往来等功能于一体的客户管理系统。帮管客CRM客户管理系统,客户管理,从未如此简单,一个平台满足企业全方位的销售跟进、智能化服务管理、高效的沟通协同、图表化数据分析帮管客颠覆传统,重新定义企业管理系统。帮管客CR
B1-3帮管家-CRM-文件上传 漏洞描述: 帮管客CRM是一款集客户档案、销售记录、业务往来等功能于一体的客户管理系统。帮管客CRM客户管理系统,客户管理,从未如此简单,一个平台满足企业全方位的销售跟进、智能化服务管理、高效的沟通协同、图表化数据分析帮管客颠覆传统,重新定义企业管理系统。帮管客CR
B1-2帮管家-CRM-SQL 漏洞描述: 帮管客CRM 客户管理系统/index.php/message 接口存在 sql 注入漏洞,未经身份认证的攻击者可通过此漏洞获取数据库敏感信息。 网站图片: 网络测绘: fofa语法: app=“帮管客-CRM” 漏洞复现: payload: GET /i
B1-1帮管家-CRM-SQL 漏洞描述: 帮管客CRM 客户管理系统/index.php/jiliyu 接口存在 sql 注入漏洞,未经身份认证的攻击者可通过此漏洞获取数据库敏感信息。 网站图片: 网络测绘: fofa语法: FOFA:app=“帮管客-CRM” 漏洞复现: payload: GE
A44-1Avcon-系统管理平台-任意文件读取 漏洞描述: AVCON-系统管理平台download.action存在任意文件读取漏洞,通过该漏洞读取配置文件信息,造成信息泄露漏洞 fofa语法: title=“AVCON-系统管理平台” 漏洞复现: payload: GET /download.
A43-2Avcon-网络视频服务系统-PermissionAC 漏洞描述: AVCON-网络视频服务系统通过接口 /avcon/av_user/editusercommit.php?currentpage=1 重置admin用户的密码,从而登录系统后台。 fofa语法: title==“avcon
A42-2Alien-ALR-F800-RCE 漏洞描述: Alien Technology ALR-F800存在命令执行漏洞 fofa语法: “ALR-F800” 漏洞复现: payload: POST /cmd.php HTTP/1.1 Host: Accept-Ldwk: bG91ZG9uZ
