xray icon indicating copy to clipboard operation
xray copied to clipboard

Published 20 hours ago verified publisher icon chaitin

Apache-ShenYu-Unauthorized

Open mar-mot opened this issue 2 years ago • 1 comments

请先认真阅读下列要求,如不符合会被直接关闭 PR

  • 确保当前 POC 与已有的 POC 没有重复,除了仓库 pocs 目录中的,还有内置的几个用 Go 写的 POC也不要重复:

    poc-go-php-cve-2019-11043-rce
poc-go-seeyon-htmlofficeservlet-rce
poc-go-tongda-lfi-upload-rce
poc-go-tongda-arbitrary-auth
poc-go-ecology-dbconfig-info-leak
poc-go-tomcat-put
poc-go-tomcat-cve-2020-1938

  • 阅读规范和要求

    • https://chaitin.github.io/xray/#/guide/contribute
    • https://chaitin.github.io/xray/#/guide/high_quality_poc

  • 一个 pull request 只提交一个 poc

  • 对于 0day / 1 day 等未大面积公开细节的漏洞请勿提交,可以私聊群管理员

  • 不接受没有测试环境的 poc,测试环境可以使用 vulhubvulnapps,也可以提供 fofa/zoomeye/shodan 等搜索关键字。 请勿直接填写公网上未修复的站点的地址,如果有特殊情况,请私聊群内管理解决。

  • 如果你的 poc 被合并或者没有合并但是评论说需要发送奖励,请查看 https://chaitin.github.io/xray/#/guide/feedback 并添加最下面的微信,说明你的 poc 地址,方便发送奖励。

我是分割线,在提交 poc 填写说明的时候,请务必阅读上方要求,然后删除本分割线和上方的内容,只保留下面自定义的部分即可,否则不予通过。

本 poc 是检测什么漏洞的

本poc 检测Apache ShenYu Admin爆出身份验证绕过漏洞,攻击者可通过该漏洞绕过JSON Web Token (JWT)安全认证,直接进入系统后台。

测试环境

body="id="httpPath"" && body="th:text="${domain}""

备注

image

mar-mot avatar Mar 30 '22 14:03 mar-mot

无重复,师傅可以修缮格式之后在CT stack社区(原Xray社区)提交,这样方便兑换金币等,可以换取Xray高级版,京东卡等礼品

mashiro01 avatar Dec 28 '22 03:12 mashiro01

当前贡献POC的形式和奖励都有所变更,如果您现在还希望提交POC,可以参考此处的相关信息进行提交,感谢您的贡献

https://docs.xray.cool/excitation/reward

Jarcis-cy avatar Mar 28 '24 08:03 Jarcis-cy