(CVE-2020-21224)浪潮ClusterEngineV4.0 远程命令执行漏洞复现

最新推荐文章于 2025-01-16 21:00:22 发布
最新推荐文章于 2025-01-16 21:00:22 发布
阅读量3.9k 收藏 3
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45742511/article/details/115671235
版权

简介

浪潮 Inspur ClusterEngine是中国浪潮公司的一个应用软件。提供管理集群系统中软硬件提交的作业。

漏洞描述

浪潮服务器群集管理系统存在危险字符未过滤,导致远程命令执行

影响版本

浪潮ClusterEngineV4.0

FOFA

title="TSCEV4.0"

复现过程

FOFA搜索:
在这里插入图片描述
登录页面:
在这里插入图片描述
输入账号密码,进行抓包:
在这里插入图片描述
页面不存在验证码,且存在用户名枚举,进行暴力破解:

最低0.47元/天 解锁文章
浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224
初岄的博客
07-26 1544
浪潮ClusterEngineV4.0 远程命令执行漏洞 CVE-2020-21224
浪潮ClusterEngineV4.0 sysShell 远程命令执行
平凡
05-28 362
既然已经决定做一件事,那么除了当初决定做这件事的我之外,没人可以叫我傻瓜。
浪潮ClusterEngineV4.0 任意用户登录漏洞
qq_17754023的博客
02-28 1387
1.漏洞描述 浪潮ClusterEngineV4.0 存在任意用户登录漏洞,构造恶意的用户名和密码即可获取后台权限。 2.资产查找 FOFA:title="TSCEV4.0" 3.漏洞复现 1)进入登录页面 2)输入用户名和密码如下,即可进入后台 USER: admin|pwd PASS: 任意 点击登陆 ...
浪潮ClusterEngineV4.0 远程命令执行
平凡
05-29 277
胜利和败北都要品尝,经历过四处流浪的辛酸,痛苦和悲伤的回忆,这样才能独当一面,就算痛哭流涕也没关系!
浪潮ClusterEngineV4.0 任意用户登录
平凡
05-27 321
所谓理想,只是同时拥有实力的人才能说的“现实”。所谓弱就是一种罪。
漏洞复现-浪潮-GS企业管理软件-RCE
无问社区的博客
08-28 1434
浪潮GS是浪潮研发的系统软件,浪潮GS,采用SOA 架构和先进开放的GSP 应用中间件开发,面向大中型集团企业提供的一套数据集中、应用集中、管理集中的全面解决方案。浪潮GS企业管理软件存在RCE(Remote Code Execution,远程代码执行)漏洞是指攻击者能够在远程服务器上执行任意代码的安全漏洞。此类漏洞通常会让攻击者完全控制受影响的系统,导致严重的安全问题。
CVE-2020-21224 ClusterEngineV4.0 远程代码执行.md
04-11
CVE-2020-21224 ClusterEngineV4.0 远程代码执行
CVE-2020-13925 Apache Kylin 远程命令执行漏洞.md
04-12
CVE-2020-13925 Apache Kylin 远程命令执行漏洞
CVE-2020-8163:CVE-2020-8163-在Rails中远程执行用户提供的本地名称的代码
03-09
CVE-2020-8163-在Rails中远程执行用户提供的本地名称的代码 在Rails <5.0.1中远程执行用户提供的本地名称 5.0.1之前的Rails版本中存在一个漏洞,该漏洞将允许攻击者控制render调用的locals参数。 已为该漏洞...
insuperRCE:浪潮ClusterEngineV4.0 前台getshell
04-16
insuperRCE 浪潮ClusterEngineV4.0 前台getshell
浪潮GS集团管理软件操作说明
03-04
目前,凭证打印已经在今晚传媒经济周报和今晚报社实现。本文图文结合的详述一下实现凭证打印的步骤,各成员单位可按照如下步骤实现凭证打印。
浪潮 ClusterEngineV4.0 任意命令执行
xxx9686的博客
09-20 677
浪潮ClusterEngine集群管理平台是专为浪潮天梭系列HPC产品定制的一款作业管理软件,该软件采用B/S架构,通过浏览器(IE,firefox等)进行操作,可以管理集群系统中的软硬件资源和用户提交的作业,根据集群中的资源使用情况来合理的调度用户提交的作业,从而达到提高资源的利用率和作业的执行效率的作用。其4.0版本存在任意命令执行漏洞。攻击者通过发送精心构造的请求包到目标应用程序,将会造成远程命令执行漏洞。甚至获得目标站点的服务器权限。
浪潮GS企业管理软件GetChildFormAndEntityList存在反序列化漏洞
xiaokp7的博客
07-24 976
浪潮GS 面向大中型集团企业采用SOA 架构和先进开放的GSP 应用中间件开发,形成了集团管控13 大领域15 大行业60余个细分行业的解决方案。在管理方面,浪潮GS 有效帮助企业有效实现财务集中管理、资金集中管理、资产集中管理、供应链集中管理,从而达到集团信息的集中监控以及企业集团成员之间资源共享、合作共赢、共同发展。在业务方面,浪潮GS 支持供应链协同、生产管理协同,打破企业资源(人、财、物、信息、流程等)之间的各种壁垒和边界,帮助企业实现内外供应链的全面管理,从而提高了整个产业链对客户的反应速度。
浪潮云财务系统xtdysrv.asmx存在命令执行漏洞
最新发布
西米安全
01-16 428
浪潮云财务系统xtdysrv.asmx存在命令执行漏洞,未经身份验证的远程攻击者可通过该漏洞在服务器端任意执行代码。
浪潮远控卡的登录爆破漏洞
weixin_30326515的博客
01-26 984
一、浪潮远控卡简介 浪潮远控卡是一款插在服务器上的,方便运维人员和服务器管理人员对服务器进行远程控制的WEB服务,其在80端口对外提供HTTP服务。登录进去以后可以对服务器硬件进行远程控制和管理。例如CPU、内存等性能指标监控,远程开启关闭服务器上的虚拟机,甚至作为控制虚拟主机的跳板机。 二、浪潮远控卡的漏洞浪潮远控卡可以尝试使用admin/admin进行登录尝试,很有可能可以进...
漏洞复现浪潮海岳 HCM Cloud download 任意文件读取漏洞复现
m0_71944965的博客
12-06 230
浪潮海岳HCM-Cloud /download 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值