任意文件上传 | CN-SEC 中文网

任意文件上传但JSP失效？别急，文件上传还有这些隐藏玩法！

🛡️ 无法执行 JSP 时，如何高效利用任意文件上传漏洞🧩 漏洞背景目标系统存在任意文件上传漏洞，攻击者可以上传任意类型的文件，包括 .jsp、.html、.js 等。但：.jsp 虽可上传，但无法...

05月05日安全文章23 views评论

阅读全文

代码审计

【代码审计】xxx任务系统后台任意文件上传

点击上方蓝字关注安全知识引言系统存在未经身份认证的文件上传功能，攻击者可通过构造恶意HTTP请求绕过前端校验，直接上传包含恶意代码的文件（如WebShell）。由于服务端未对上传文件进行内容...

04月10日24 views评论

阅读全文

安全文章

某大学证书站漏洞打包

之前发现手里的供应链源码刚好某个证书站也有用到，随即代码审计某处处理文件上传的getShowimages方法没有对文件后缀名进行检查，导致任意文件上传getshell 构造文件上传数据包，贴...

03月11日7 views评论

阅读全文

安全漏洞

月子会所ERP管理云平台任意文件上传和目录遍历漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述月子会ERP管理云平台是由武汉金同方科技有限公司研发团队结合行业月子中心相关企业需求开发的一套综合性管理软件。0x03 漏洞详情漏洞类型：...

02月19日21 views评论

阅读全文

安全文章

突破文件后缀限制实现任意文件上传

原文链接：https://forum.butian.net/share/4129 作者：中铁13层打工人 0x1 前言之前人力系统审计文章中发现了鸡肋的上传点，本着学习的心态看看能不能扩...

02月18日18 views评论

阅读全文

安全文章

突破后缀限制实现任意文件上传

文章作者：奇安信攻防社区（中铁13层打工人）文章来源：https://forum.butian.net/share/4129 1► 前言之前人力系统审计文章中发现了鸡肋的上传点，本着学习的心态看看...

02月14日17 views评论

阅读全文

安全漏洞

飞企互联FE业务协作平台任意文件上传和任意文件读取漏洞

0x00 漏洞编号暂无0x01 危险等级高危0x02 漏洞概述飞企互联FE业务协作平台是由飞企互联开发的一款企业级业务协作管理平台，旨在通过数字化工具提升企业协作效率，实现业务流程的全方位优化。0x0...

01月22日55 views评论

阅读全文

关于防范Apache Struts2任意文件上传超危漏洞的风险提示

近日，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现，开源应用框架Apache Struts2存在任意文件上传超危漏洞，可被恶意利用实现远程代码执行，导致敏感数据泄露和系统受...

01月06日安全新闻20 views评论

阅读全文

安全文章

菜鸟的渗透测试

早上接到通知，需要对一个站点进行测试。拿到IP第一时间微步了一下，是一个北京某里云的ip。先对ip进行了扫描，发现开启的端口贼多，其中一个端口感觉没把我当人。看到这个，嘴角轻蔑地一笑，哼，我偏不信。于...

01月02日14 views评论

阅读全文

代码审计

Guns后台任意文件上传漏洞分析

下载地址：主项目：https://gitee.com/stylefeng/guns核心包：https://gitee.com/stylefeng/roses 分析认证逻辑找个正常的接口访问，发现没有...

12月30日29 views评论

阅读全文

安全新闻

Struts2漏洞深度解析：CVE-2024-53677任意文件上传逻辑绕过及修复建议

漏洞概述CVE-2024-53677 是一个在 Apache Struts 框架中发现的严重漏洞，可能允许攻击者远程执行任意代码。漏洞的根本原因是文件上传逻辑存在缺陷，攻击者可以利用该缺陷进行路径穿越...

12月19日88 views评论

阅读全文

安全漏洞

管家婆订货易在线商城 UploadImgNoCheck 任意文件上传 PoC

00产品简介管家婆订货易在线商城是一个专为传统企业打造的B2B订货平台，帮助传统企业构建专属的订货平台，集合了PC商城、微信商城、小程序商城、APP商城以及H5触屏版商城，形成五网合一的全方位覆盖。...

12月17日22 views评论

阅读全文

在线咨询

微信