玄道网安-优快云博客

原创 Tomcat Session 反序列化漏洞（CVE-2025-24813）

核心逻辑在这里，以 range.length作为文件的长度，range.start作为起始点开始处理流，这也是为什么 length 必须要大于 body 的总长度，不然无法将内容完全上传。这部分是反序列化触发点，CVE-2020-9484出自这里，所以不难看出这其实是一个组合漏洞，当时CVE-2020-9484是因为存在目录穿越问题所以可以穿越加载一个自定义的序列化文件。CVE-2017-12615、CVE-2024-50379均涉及该方法，也就是 doPUT，其实逻辑很简单，如以下代码。

2025-03-14 20:30:23 1128

原创 Windows CSC服务权限提升漏洞(CVE-2024-26229)

需要注意的是，Windows各个版本的EPROCESS_TOKEN_OFFSET可能不同，应该是从Win10 2004 (20H1)这个版本开始EPROCESS_TOKEN_OFFSET才发生的变化，之前的是0x360，之后的都是0x4b8。METHOD_NEITHER 是一种 I/O 数据传递方法，它允许驱动程序直接访问用户模式缓冲区，而无需系统提供的安全检查，这为恶意攻击者提供了机会。此外，用户应尽量避免直接运行不受信任的代码，特别是在服务器或高权限环境下，以减小漏洞被利用的风险。

2024-10-11 12:07:41 728

原创漏洞复现-Windows TCPIP存在9.8分远程代码执行漏洞(CVE-2024-38063)

该远程代码执行漏洞存在于Windows系统中的TCP/IP堆栈处理IPv6流量时，利用特定的IPv6数据包即可触发，且涉及TCP/IP这一支撑互联网通信的核心协议套件，成功利用此漏洞可导致远程代码执行，无需以用户身份进行身份验证即可远程进行文件查看、系统设置等操作可能导致广泛的系统破坏。就可能会出现漏洞，例如用户态的传入的UserInputBuffer和UserOutputBuffer均为内核态地址，驱动就会根据用户态传入地址读写，即可造成任意地址读写。最后完成提权，使用提升的权限启动一个新的命令提示符。

2024-09-14 13:24:03 1608

原创 HTB-Campfire-1

是本次分析的关键点，但是具体的漏洞原因还是需要结合Kerberos协议去了解才行，他主要是利用了客户端在获取tgt后，向kdc去请求访问A服务器，这时候kdc验证tgt无误，然后使用A服务的ntlm hash 去加密了票据，然后票据又放在tgs传给客户端的过程中，拿到了这个hash，然后去做的攻击，这里可以参考一下csdn里边的文章去理解。、现在，我们已经确定了工作站，接下来将为您提供包括 PowerShell 日志和预提取文件在内的会审，以便您深入了解此活动在端点上是如何发生的。此数据存储在文件中，

2024-08-30 09:27:10 944

原创 potato靶机的wp

5、查看info.php中可能存在的一些信息，一般可以看下根路径、ip、还有一些配置的开启情况。这边发现是符合本地文件包含的条件的，但是翻遍现有的源代码没有找到可以利用的参数。2、在扫到端口开放情况后，用-A针对这俩端口进行一次扫描，ubuntu系统，有web服务，7120是他的ssh服务。)，下载好以后在虚拟机软件中打开（本人使用的是vmware），设置为nat模式，同kali在同一网段下以后，可以用。7、这边也是成功ssh登录，不过vulnhub的部分旧的靶机似乎普通用户这里没有flag。

2024-08-30 09:20:41 1352

原创漏洞复现-Windows RDL存在远程代码执行漏洞（CVE-2024-38077）

在启用远程桌面服务（RDS）的环境中，RDL确保服务器拥有足够的授权许可证，以便允许多个用户或设备通过RDP同时连接到该服务器。当客户端尝试通过RDP连接到具有远程桌面服务的服务器时，RDL会验证并分配适当的许可证，以确保用户遵循许可协议。是Windows 远程桌面授权服务，RDL 服务并非默认启用，但许多管理员会手动启用它来扩展功能，例如增加远程桌面会话的数量。该漏洞在解码用户输入的许可密钥包时，未正确验证解码后的数据长度与缓冲区大小之间的关系，从而导致缓冲区溢出。

2024-08-17 20:31:52 1311

原创漏洞复现-Notepad++堆缓冲区溢出漏洞

1.漏洞概述漏洞编号：CVE-2023-40031、CVE-2023-40036、CVE-2023-40164、CVE-2023-40166Notepad++，一款免费且开源的源代码编辑器，存在多个缓冲区溢出漏洞，这些漏洞可能被威胁行为者用于恶意目的。这些漏洞的严重性从5.5（中等）到7.8（高）不等。在打开特制的文件时，Notepad++会读取并写入缓冲区边界之外。这些漏洞主要基于Notepad++软件使用的某些函数和库的堆缓冲区写溢出和堆缓冲区读溢出。这些漏洞已被Gitlab安全研究员J

2024-08-13 10:31:18 1143

原创漏洞复现-pyLoad远程代码执行漏洞复现(CVE-2023-0297)

pyLoad 存在代码注入漏洞，攻击者可通过此漏洞在未经身份验证的情况下注入恶意代码，导致服务器被攻陷。该漏洞的根本原因是pyLoad未能正确地过滤用户输入信息，并把用户输入当做程序代码来执行。攻击者可以利用JS2Py库中的漏洞将JavaScript注入到请求中，从而导致恶意代码执行。语句导入任何Python代码，我们可以通过导入OS模块来执行系统命令，而且。代码来执行也就是说此时我们可以执行任意。使用js2py的功能，此处通过。因此您可以运行任意脚本代码。在前端页面处直接传值给。的功能是默认开启的状态。

2024-08-13 10:19:26 441

原创漏洞复现-Splunk Enterprise for Windows 未授权任意文件读取漏洞(CVE-2024-36991)

受影响的 Splunk Enterprise for Windows 版本中，使用 Python 内置的 os.path.join 函数拼接路径时，若路径组件中的磁盘驱动器号与已构建路径中的驱动器号相同则会移除该驱动器号，导致 /modules/messaging/ 端点存在路径遍历漏洞，未授权的攻击者可利用该漏洞读取任意文件。是一个机器数据引擎，用于收集、索引和利用应用程序、服务器和设备生成的快速移动型计算机数据。将组件 splunk 升级至最新版本。

2024-08-13 10:16:27 450

原创漏洞复现-vBulletin反序列化代码执行漏洞（CVE-2023-25135）

利用此原理，在vBulletin实例化vB_DataManager_User类，调用unserialize()方法检查searchprefs字段是否序列化时候，如果在searchprefs字段内容里面填写的是一个序列化的精心构造的类名，此时unserialize()方法会反序列化该类名的对象，整个过程中会调用到vB:: autoload()，从而引入加载以该类名分解构成的文件。即使这个类名是不真实存在的，它也只会返回一个__PHP_Incomplete_Class的实例，反序列化的过程不会崩溃。

2024-08-13 10:15:43 827

原创漏洞复现-Viessmann Vitogate 远程命令执行漏洞(CVE-2023-45852)

Vitogate 300 2.1.3.0版本的/cgi-bin/vitogate.cgi存在一个未经身份验证的攻击者可利用的漏洞，通过put方法中的ipaddr params JSON数据中的shell元字符实现绕过身份验证并执行任意命令。通过分析/ugw/httpd/html/cgi-bin/vitogate.cgi，它通过HTTPPOST接受JSON格式的数据。目前官方已发布新版已经修复此漏洞，并且为受影响版本发布了补丁，建议用户尽快升级至最新版本。然后isValidSession函数检查是否已登录。

2024-08-13 10:14:22 341

原创漏洞复现-VMware Aria Operations for Networks命令注入漏洞（CVE-2023-20887）

查看 /etc/nginx/sites-enabled 中的 Nginx 配置信息，可以看到对 /saasresttosaasservlet 的访问会被限制。通过 ps 命令，可以查看该进程的详细信息。这意味着攻击者对 /saas./resttosaasservlet 的请求将会被覆写并允许在本地 9090 端口访问 /./resttosaasservlet。针对 /saas./resttosaasservlet 的请求会被重定向到本地 9090 端口，可以查看本地 9090 端口上运行什么服务。

2024-08-13 10:12:50 1222

原创漏洞复现-Weblogic远程代码执行漏洞(CVE-2023-21839)

ForeignOpaqueReference继承自OpaqueReference，前面说过，当远程对象继承自OpaqueReference时，客户端在对该对象进行JNDI查找并获取的时候，服务器端实际上是通过调用远程对象的getReferent()方法来获取该对象的实际引用。远程对象继承OpaqueReference时，该对象进行JNDI查找并获取时，服务器端实际上是通过调用远程对象的getReferent()方法来获取该对象的。

2024-08-13 10:11:09 575

原创漏洞复现-WinRAR代码执行漏洞

漏洞编号影响版本：RARLabs WinRAR版本在6.23之前漏洞描述：RARLabs WinRAR在6.23版本之前存在一个漏洞，该漏洞允许攻击者在用户尝试查看ZIP存档中的良性文件时执行任意代码。

2024-08-13 10:09:59 559

原创漏洞复现-XXL-JOB accessToken 存在身份认证绕过漏洞

官方已修复该漏洞，建议用户修改调度中心和执行器配置项 xxl.job.accessToken 的默认值。默认情况下是非空的，也就是xxl.job.accessToken=default_token。动态生效：用户在线通过Web IDE开发的任务代码，远程推送至执行器，实时加载执行。XXL-JOB为了灵活支持多语言以及脚本任务，提供了创新的 “是许雪里（XXL-JOB）社区的一款基于java语言的分布式任务调度平台。：任务以源码方式维护在调度中心，支持通过Web IDE在线开发、维护。

2024-08-13 10:08:39 1482

原创漏洞复现-通达OA v11.6 report_bi.func.php SQL注入

在自定义函数内首先查找了第一个单引号出现位置然后将出现位置的字符串长度给加到了pos这个变量内。Mysql里面有一个符号 @`` 可以将``内的字符串转换成变量所以最后poc就出来了。所以需要将我们需要注入的sql语句作为被替换的数据传入检测然后再将语句前的单引号闭合。然后进入另外一个循环查找单引号和注释符直到没有查找到后跳出循环。总结查找传入sql查询里面的数据（即为单引号的内容）替换成\$s\$只要没有跳出循环 clean就继续拼接\$s\$然后。

2024-08-13 10:07:01 504

原创漏洞复现-用友GRP SQL注入

根据FOFA搜索引擎的数据，目前已发现271条匹配结果，涉及18个独立的IP地址。页面存在严重的SQL注入漏洞，攻击者可以利用该漏洞获取数据库中的敏感信息或执行恶意操作。建议相关单位尽快采取措施，修复该漏洞，确保系统的安全性。当服务器接收到这样的请求时，由于没有正确地过滤输入，攻击者可以执行任意SQL命令。该漏洞允许攻击者通过发送恶意构造的POST请求来执行任意SQL命令。对输入进行严格的过滤和验证，避免直接将用户输入的数据用于SQL查询。立即对受影响的系统进行安全检查，确保没有被恶意利用。

2024-08-13 10:05:54 423

原创漏洞复现-用友U8Cloud ServiceDispatcher反序列化漏洞

在PoC中，代码似乎是发送一个特定的序列化数据到/ServiceDispatcherServlet，然后检查响应是否包含特定的字节序列[]byte{0x72, 0x71, 0x89, 0x01}（可能是某种标识符或特定的序列化对象的标记）。具体的漏洞触发点可能与不当的Java对象序列化处理有关，因为代码中特别检查了响应的Content-Type是否为application/x-java-serialized-object。近期，用友官方收到一则漏洞情报，及时发布了补丁，成功修复了一个前台反序列化漏洞。

2024-08-13 10:05:13 1816

原创漏洞复现-PHP-CGI Windows平台远程代码执行漏洞（CVE-2024-4577）

语言在设计时忽略了Windows系统内部对字符编码转换的Best-Fit特性，当PHP运行在Window平台且使用了如繁体中文(代码页950)、简体中文(代码页936)和日文(代码页932)等语系时，威胁者可构造恶意请求绕过CVE-2012-1823的保护，通过参数注入等攻击在目标PHP服务器上远程执行代码。结合上面的特性，你可以通过传%ad来传入一个"-"，这样在-之后的部分就会成为php-cgi的参数。只有php-cgi.exe是granted的，我们把视角还是回到php-cgi上。

2024-08-12 10:11:14 1746

原创漏洞复现-openfire web管理员控制台验证绕过漏洞(CVE-2023-32315)

其中，builder用于存储解码后的路径字符串，如果遇到%，会检查builder是否为null，如果是的话，就说明还没有解码过任何字符，需要先将%前面的字符拷贝到builder中，这样做的目的是保证解码后的uri路径完整。因为匹配到excludes存在的setup/setup-*，进入url检测，这里已经对”..”以及”%2e”进行了过滤，所以普通的路径遍历特征都会被拦截，但新版本中的Jetty Web服务器支持对%u002e这类非标准unicode uri的解析，也就又给攻击者提供了一种利用方式。

2024-08-12 10:09:11 953

原创漏洞复现-MinIO verify 接口敏感信息泄露漏洞分析(CVE-2023-28432)

MinIO 是一种高性能、高可用性的分布式存储系统，它可以存储大量数据，并提供对数据的高速读写能力。MinIO 采用分布式架构，可以在多个节点上运行，从而实现数据的分布式存储和处理。在getServerSystemCfg()方法中获取了环境变量，其中envValues采用遍历的方式获取了skipEnvs[envK]的value。MinIO的某些接口会因为信息处理不当而返回会返回所有环境变量，包括MINIO_SECRET_KEY和MINIO_ROOT_PASSWORD，导致敏感信息泄露。

2024-08-12 10:06:24 702

原创漏洞复现-Metabase 远程代码执行漏洞(CVE-2023-38646)

根据pyn3rd师傅分享的https://blog.pyn3rd.com/2022/06/06/Make-JDBC-Attacks-Brillian-Again-I/可以知道，可以通过以下三种方式攻击H2数据库。，按照官方预设的流程，一般来说其只能存在一次，在安装结束之后便会清除,但是官方完成安装后移除setup-token 这个重要的的操作给移除了。是Java中用于执行脚本的引擎，只要代码的最开头是 //javascript ，就会被认为是JavaScript脚本，并编译和执行。利用时不需要身份验证。

2024-08-12 10:05:00 1675

原创漏洞复现-CVE-2023-42442：JumpServer未授权访问漏洞

JumpServer在此次修复中移除了对该类的引用，很可能是为了修复前述的未授权访问问题。API端点的权限控制存在逻辑错误，允许攻击者匿名访问。未经身份验证的远程攻击者可以利用此漏洞下载SSH日志，并可能借此远程窃取敏感信息。值得注意的是，存储在S3、OSS或其他云存储中的SSH会话不受此漏洞影响。：攻击者可利用此漏洞访问会话信息，可能导致JumpServer中的敏感会话数据被窃取，例如用户数据、会话密钥等。尽快升级JumpServer至安全版本，即版本3.5.5或3.6.4及以上。，官方从代码中移除了。

2024-08-12 10:03:09 571

原创漏洞复现-JetBrains TeamCity 任意用户创建（CVE-2023-42793）

可以下载官方补丁进行修复：https://blog.jetbrains.com/zh-hans/teamcity/2023/09/critical-security-issue-affecting-teamcity-on-premises-update-to-2023-05-4-now/ ，也可直接升级到2023.05.4版本之后。接下来反编译 /TeamCity-2023.05.2/webapps/ROOT/WEB-INF/plugins/rest-api/server/rest-api.jar，

2024-08-12 10:02:23 964

原创漏洞复现-jeecg-boot 未授权SQL注入漏洞（CVE-2023-1454）

的代码生成器是一种可以帮助开发者快速构建企业级应用的工具，它可以通过一键生成前后端代码，无需写任何代码，让开发者更多关注业务逻辑。目前最新更新的3.5.1版本似乎依旧没有针对积木报表注入点儿的加固措施,修复时更换jar包。漏洞产生点在积木报表插件内，查看更新的3.5.1的版本更新。建议更新当前系统或软件至最新版，完成漏洞的修复。这个修复是针对于后端的SQL注入，更改了72处的文件，其中需要注意。目前积木官方的jar包已升级。中增加了对sql语句的正则。关注积木5月份的升级日志。中重写了数据插入的方法。

2024-08-12 09:59:54 2098

原创漏洞复现-Ivanti Sentry 身份验证绕过漏洞 CVE-2023-38035

Ivanti MobileIron Sentry 9.18.0 及更低版本中的 MICS 管理门户中存在安全漏洞，由于 Apache HTTPD 配置限制不足，该漏洞可能允许攻击者绕过管理界面上的身份验证控制。我们看看前面的remoting-servlet.xml，发现该服务引用了一个名为SentryMicsHessianServiceExporter的类，它是一种二进制/XML RPC。是一家IT软件公司，它生产用于IT安全，IT服务管理，IT资产管理，统一端点管理，身份管理和供应链管理的软件。

2024-08-12 09:57:54 921

原创漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)

Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据，当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单，而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。

2024-08-12 09:54:50 735

原创漏洞复现-GitLab任意读取文件(CVE-2023-2825)

据悉,该漏洞影响 GitLab社区版(CE)和企业版(EE)的 16.0.0 版本,其它更早的版本几乎都不受影响。该漏洞存在于GitLab CE/EE版本16.0.0中，当嵌套在至少五个组中的公共项目中存在附件时，可在未经身份验证的情况下通过uploads功能遍历读取任意文件，导致敏感信息泄露。因此，我们需要先绕过nginx，一旦通过了校验，nginx会将未经解码处理的URL传递给Workhorse。分析nginx的代码后，不难发现在处理复杂的URI时，nginx会对URL编码的部分进行解码。

2024-08-12 09:52:23 978

原创漏洞复现-GeoServer 远程代码执行漏洞（CVE-2024-36401）

受影响的版本中，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作。将geoserver平台升级到最新版。

2024-08-12 09:50:29 996

原创漏洞复现-F5 BIG-IP 存在远程代码执行漏洞 (CVE-2023-46747)

F5 BIG-IP 存在远程代码执行漏洞。未经身份验证的攻击者可能会绕过配置实用程序身份验证，通过管理端口和/或自身 IP 地址网络访问 BIG-IP 系统，从而执行任意系统命令。目前官方已发布新版已经修复此漏洞，并且为受影响版本发布了补丁，建议用户尽快升级至最新版本。我们先将poc得十六进制进行转换，转换后可以发现，该数据包进行创建管理员账户。然后使用创建的管理员账号进行命令执行操作。

2024-08-12 09:49:11 960

原创漏洞复现-CRMEB 开源商城 sid 参数 SQL 注入漏洞

是使用extractvalue()函数从数据库中提取数据，并检查提取的数据，当与MD5进行哈希时，是否与特定的哈希值匹配。CRMEB打通版v4是免费开源商城系统，UINAPP+thinkphp6框架商城.CRMEB打通版/api/products路径下的sid参数存在未经过滤的SQL语句拼接导致SQL注入。攻击者除了可以利⽤ SQL 注⼊漏洞获取数据库中的信息（例如，管理员后台密码、站点的⽤户个⼈信息）之外，甚⾄在⾼权限的情况可向服务器中写⼊⽊⻢，进⼀步获取服务器系统权限。披露日期：2023/10/9。

2024-08-12 09:48:16 1021

原创漏洞复现-Craft CMS 远程代码执行漏洞 (CVE-2023-41892)

在 4.4.15 之前的版本中，存在一个远程代码执行漏洞。Craft CMS 是一个用于创建数字体验的平台，这是一个高影响、低复杂性的攻击向量。受影响的 Craft CMS 版本存在代码注入漏洞，该漏洞源于远程代码执行漏洞。为了缓解此问题，建议运行 4.4.15 之前版本的用户至少更新到 4.4.15 版本。漏洞严重性CVSS 3.x 严重性和指标:NIST: NVD向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H。将as和on特殊字符过滤了。

2024-08-12 09:47:33 428

原创漏洞复现-Citrix 信息泄露漏洞分析（CVE-2023-4966）

snprintf函数被用于将hostname参数拼接到print_temp_rule变量中，并根据返回的长度，通过ns_vpn_send_response函数返回HTTP请求的结果。这里的hostname参数是由 HTTP 请求中的 Host 头决定的,因此这个参数的长度我们是完全可以控制的。snprintf 这个函数应该返回的是 ”想要写入buffer 的字符串长度“ ，而不是实际写入buffer的字符长长度。可以看到，当我想写入 16长度的字符串的时候， n2的值为 16，而不是实际写入的长度。

2024-08-12 09:46:18 2371

原创漏洞复现-Cacti命令执行漏洞 (CVE-2022-46169)

1.漏洞描述是一套基于PHP，MySQL，SNMP及RRDTool开发的网络流量监测图形分析工具，可为用户提供强大且可扩展的操作监控和故障管理框架。该漏洞存在于remote_agent.php文件中，未经身份验证的恶意攻击者可以通过设置HTTP_变量绕过身份验证，再通过构造特殊的$poller_id 参数来触发proc_open() 函数，成功利用此漏洞可在目标服务器上执行任意命令，获取服务器的控制权限。2.影响版本3.影响范围。

2024-08-11 21:50:35 626

原创漏洞复现-Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)

1.漏洞描述是一款由Atlassian开发的企业团队协作和知识管理软件，提供了一个集中化的平台，用于创建、组织和共享团队的文档、知识库、项目计划和协作内容。Atlassian Confluence的/template/aui/text-inline.vm接口处存在velocity模板注入，未经身份验证的攻击者可利用此漏洞构造恶意请求远程代码执行，可导致服务器失陷。2.影响版本Confluence Data Center和Confluence Server 8.0.x。

2024-08-11 21:45:05 394

原创漏洞复现-Atlassian Confluence Data Center 与 Server 存在权限绕过漏洞 (CVE-2023-22518)

通过/json路由前缀可以直接访问到/setup和/admin namespace里定义的接口，而WebSudoInterceptor又默认认为/json路由下的接口不需要管理员二次登录，仅在接口方法有WebSudoRequired注解时需管理员二次登录。WebSudoInterceptor首先获取请求的url，如果接口url以/admin/开头，则接口默认需要管理员二次登录，仅在接口方法有WebSudoNotRequired注解时无需管理员二次登录。官方已修复该漏洞，建议用户按照官方修复步骤。

2024-08-11 21:41:15 1130

原创漏洞复现-Atlassian Confluence Data Center & Server 存在访问控制缺陷漏洞 (CVE-2023-22515)

Confluence 提供了一个集中式的团队协作环境，使团队成员能够共享文档、项目计划、任务列表、会议记录等信息，并进行实时协作和交流。它提供了高可用性、可扩展性和性能增强的功能，以确保在大规模使用情况下的稳定性和可靠性。我们可以在下面看到，SetupCheckInterceptor将进行测试BootstrapUtils.getBootstrapManager().isSetupComplete()作为检查的一部分，以确定 Confluence 服务器是否已设置。

2024-08-11 21:39:37 393

原创漏洞复现-Apache Struts2 文件上传漏洞（CVE-2023-50164）

补丁修复的HttpParameters大小写敏感问题，如果此时通过参数绑定传递MyFaceFileName，在上传表单名中传递myFace(inputName+FileName)，此时HttpParameters里面是myFaceFileName与MyFaceFileName，这个时候key不一样，可以同时存在于HttpParameters的。发现对HttpParameters进行了修改，对参数大小写进行了控制，强制将参数都转换成了小写，漏洞和大小写参数有关。

2024-08-11 21:37:06 1542

原创漏洞复现-Apache RocketMQ 远程命令执行漏洞（CVE-2023-33246）

RocketMQ的NameServer、Broker、Controller等多个组件缺乏权限验证，攻击者可以利用该漏洞利用更新配置功能以RocketMQ运行的系统用户身份执行命令。进入for循环后在 org.apache.rocketmq.broker.filtersrv.FilterServerUtil 中给的 callshell 方法去执行命令。72行调用方法 buildStartCommand。该中间件本来就是每30秒执行一次，漏洞产生的就是修改了配置文件，变量被赋值为了恶意命令，导致了命令执行。

2024-08-11 21:30:54 1102

原创漏洞复现-Apache RocketMQ RCE 漏洞（CVE-2023-37582）

CVE-2023-37582 中，由于对 CVE-2023-33246 修复不完善，导致在Apache RocketMQ NameServer 存在未授权访问的情况下，攻击者可构造恶意请求以RocketMQ运行的系统用户身份执行命令。getStorePath方法如下，通过debug发现，最后返回值是由NamesrvConfig对象的configStorePath变量决定的（在上述补丁中过滤的是configStorePathName，因此被绕过）该文件权限是rocketmq启动时的用户权限。

2024-08-11 21:29:54 504

KillIncaseforma.rar

空空如也