最新0day|H3C用户自助服务平台RCE

admin 2024年3月11日16:34:46评论84 views字数 490阅读1分38秒阅读模式
    师傅们,周末闲暇时光,不想更文,周一应该是摸鱼时光,所以这篇文章珊珊来迟了,周末在协助某兄弟打授权比赛的时候搞到手的,该漏洞可直接对其进行命令执行,进行获取敏感信息以及主机权限,让好兄弟在某授权比赛中直接拿下第一直接狠狠戳了一顿.......
老样子,师傅们如果有用到该平台的漏洞,要记得及时找厂商进行修复以及做好防护策略,这样子就可以预防一下啦。
一、资产收集
fofa资产搜索:fid="tPmVs5PL6e9m5Xt0J4V2+A=="
二、复现过程
1.收集资产之后界面如下所示
最新0day|H3C用户自助服务平台RCE
2.漏洞存在/javax.faces.resource/dynamiccontent.properties.xhtml该接口,访问该接口后使用POST传参构造恶意代码,可直接命令执行,可直接反弹shell获取主机权限
最新0day|H3C用户自助服务平台RCE
最新0day|H3C用户自助服务平台RCE
3.发现网上很多资产存在,请用到相关
最新0day|H3C用户自助服务平台RCE
三、POC获取方式
    文章只提供思路,如需具体POC请关注公众号并回复关键字【20240311】即可获取POC.
四、总结
    继续为我国网络安全事业奋斗!

原文始发于微信公众号(网络安全007):最新0day|H3C用户自助服务平台RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月11日16:34:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   最新0day|H3C用户自助服务平台RCEhttps://cn-sec.com/archives/2566860.html

发表评论

匿名网友 填写信息