2024攻防演练POC合集（含多个1day 8.12-8.23）

以下所有漏洞完整poc均已上传至“追洞学苑”知识星球，有漏洞情报需求的朋友们可以在文末扫码加入。

演练期间重点关注漏洞：

1.*和C6协同管理平台DBModules.aspx存在SQL注入漏洞

2.*微e-cology v10远程代码执行漏洞

3.*赛通电子文档安全管理系统getAllUsers存在信息泄露漏洞

4.*友NC-nc.uap.lfw.file.FileManager存在任意文件上传漏洞

5.*友U8-CRM接口exportdictionary.php存在SQL注入漏洞

6.智慧校园(*易)管理系统FileUpAd.aspx存在文件上传漏洞

7.*3C-SecPath下一代防火墙local_cert_delete_both存在任意文件上传漏洞

8.*华DSS系统group_saveGroup存在SQL注入漏洞

9.*友U8-CRM接口exportdictionary.php存在SQL注入漏洞

10.*友u8cloud uapbd.refdef.query sql注入漏洞

11.*友crm命令执行漏洞

12.*友nc sql注入漏洞

13.*友U8 Cloud BusinessRefAction接口处存在SQL注入漏洞

14.*友crm客户关系管理help.php存在任意文件读取漏洞

15.*赛通电子文档安全管理系统docRenewApp存在反序列化漏洞

16.*赛通电子文档安全管理系统SecureUsbConnection存在反序列化漏洞

17.*赛通电子文档安全管理系统DecryptionApp存在反序列化漏洞

18.*户ezOFFICE协同管理平台receivefile_gd.jsp存在SQL注入漏洞

其他漏洞：

1.lollms-webui存在SQL注入(CVE-2024-1601)

2.W&B Weave服务器远程任意文件泄露及权限提升(CVE-2024-7340)

3.*新天霁智能eHR人力资源管理系统GetE01ByDeptCode存在SQL注入

4.*斯康达多业务智能网关多个版本list_ip_network.php存在未授权命令注入漏洞

5.*斯康达多业务智能网关多个版本list_vpn_web_custom.php存在未授权命令注入漏洞

6.*斯康达多业务智能网关多个版本list_service_manage.php存在未授权命令注入漏洞

7.*斯康达多业务智能网关多个版本vpn_template_style.php存在未授权命令注入漏洞

8.Apache HertzBeat接口yml存在RCE漏洞

9.Apache HertzBeat接口import存在RCE漏洞

10.ZZCMS未授权文件读取漏洞

11.*方移动信息服务管理系统Mobile_fjUploadByType.html文件上传漏洞

12.*易企业管理系统存在SQL注入漏洞

13.*霖NUS-M9机械行业ERP管理软件后台存在任意文件上传漏洞

14.*霖NUS-M9机械行业ERP管理软件存在任意文件读取

15.*霖NUS-M9机械行业ERP管理软件存在SQL注入漏洞

16.*智企业资源管理系统存在文件上传漏洞

17.SeaCMSV13接口admin_files.php代码注入漏洞

18.SeaCMSV13接口admin_editplayer.php代码注入漏洞

19.*享TXEHR V15人力管理管理平台SFZService.asmx存在SQL注入漏洞

20.车辆监控服务平台platformSql存在SQL注入漏洞

21.*蓝企业管理系统GetImportDetailJson存在SQL注入漏洞

22.*思OA接口WebServiceProxy存在XXE漏洞

23.*夏ERPV3.3存在信息泄漏漏洞

24.JD Edwards EnterpriseOne Tools未授权获取管理员密码泄漏

25.*ieLink+智能终端操作平台GetDataList存在敏感信息泄露漏洞

26.*ieLink+智能终端操作平台GetParkInThroughDeivces存在敏感信息泄露漏洞

27.*威亚云视频平台UploadFile.aspx存在文件上传漏洞

28.*海EHR系统pc.mob存在SQL注入漏洞

29.*VCON-系统管理平台download.action存在任意文件读取漏洞

30.*荣AIO管理系统endTime参数存在SQL注入漏洞

31.*华医疗协同办公系统templateFile存在任意文件下载漏洞

32.*能停车管理系统ToLogin存在SQL注入漏洞

33.*互联SRM智联云采系统download存在任意文件读取漏洞

34.*天云智慧平台系统setImg.ashx存在文件上传漏洞

35.WookTeam接口searchinfo存在SQL注入漏洞

36.*管家listUploadIntelligent.htm存在SQL注入漏洞

37.*管家updatePwd.htm存在任意账号密码重置漏洞

38.ZoneMinder存在SQL注入漏洞

39.*享智能运维管理平台getToken存在SQL注入漏洞

40.*美数字酒店宽带运营系统weather.php存在任意文件读取漏洞

41.*成科信票务管理系统TicketManager.ashx存在SQL注入漏洞

42.*讯一卡通管理系统DataService.asmx存在SQL注入漏洞

43.code-projects College Management System存在SQL注入漏洞(CVE-2024-7681)

44.code-projects工作门户rw_i_nat.php存在SQL注入(CVE-2024-7682)

追洞学苑

【追洞学苑】知识星球会分享最新的漏洞 nday/1day/0day poc，投稿原创未公开漏洞/分析文章可以免费加入一年，关注本公众号满半年可后台领取8折券。

FOOTER

承接CTF培训，代码审计，渗透测试，物联网、车联网、工控设备漏洞挖掘等安全项目，长期收一手涉网犯罪案源，如有其他商务合作也可以联系微信：littlefoursec（备注来由，否则不通过）。