近日,补天漏洞响应平台监测到互联网公开亿邮eyoumail的一个远程命令执行漏洞部分细节,细节中包含漏洞相关路径。经分析,该漏洞只存在于管理口,如限制管理界面则无法利用。在能够访问管理口的情况下,攻击者能够前台直接进行命令拼接,执行命令。该漏洞可导致远程命令执行,控制服务器。补天漏洞响应平台建议联系厂商获取最新补丁或使用奇安信设备更新获得防御。
我是刚入门不久的小白, 如果有什么地方不对,请师父们及时指正. 本文参考奶权师傅的 Yii复现文章: 受益匪浅,自己调试的时候发现了一个新的利用链,于是来分享下
域内一个特权提升技巧
记一次渗透内网获取域控的过程
Yii框架反序列化RCE利用链分析
GHSL小组成员Alvaro Munoz在2020年3月报告了Liferay Portal中的模板注入漏洞,通过其描述可以得知具有编辑模板权限的用户可以实现通过该漏洞实现远程代码执行,而漏洞产生原因是由于绕过了Liferay Portal自定义的安全保护机制从而使得允许通过Freemarker模板实例化任意对象完成沙箱逃逸(CVE-2020-13445)
bscan的是一款强大、简单、实用、高效的HTTP扫描器