Сплоет реализован в качестве прокси, которая подписывает запросы и можно через нее ходить на dav://, используя клиент Filezilla, Cyberduck, короч кто-что юзает.
Сначала ставим ten, запускаем проксю, но не наслаждаемся.
Потому что из коробки сплоет у меня не завелся, клиенты, видимо, не могут корректно распарсить ответ. А я просто вывел ответ от прокси через print(response.text), и собрал список файлов. Сами файлы можно получать уже через curl/wget/браузер, так как для скачивания файлов достаточно GET запроса.
Типа wgetlocalhost:8800/remote.php/dav/files/admin/Report.7z
Быстро чекнуть уязвимый ли owncloud можно через другую CVE-2023-49103: /apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php/webpwn.css
Если открылся phpinfo() - то, скорее всего, систему не обновляли, а эти CVE'шки вышли рядом.
Сплоет реализован в качестве прокси, которая подписывает запросы и можно через нее ходить на dav://, используя клиент Filezilla, Cyberduck, короч кто-что юзает.
Сначала ставим ten, запускаем проксю, но не наслаждаемся.
Потому что из коробки сплоет у меня не завелся, клиенты, видимо, не могут корректно распарсить ответ. А я просто вывел ответ от прокси через print(response.text), и собрал список файлов. Сами файлы можно получать уже через curl/wget/браузер, так как для скачивания файлов достаточно GET запроса.
Типа wgetlocalhost:8800/remote.php/dav/files/admin/Report.7z
Быстро чекнуть уязвимый ли owncloud можно через другую CVE-2023-49103: /apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php/webpwn.css
Если открылся phpinfo() - то, скорее всего, систему не обновляли, а эти CVE'шки вышли рядом.
Ng, who had pleaded not guilty to all charges, had been detained for more than 20 months. His channel was said to have contained around 120 messages and photos that incited others to vandalise pro-government shops and commit criminal damage targeting police stations. As five out of seven counts were serious, Hui sentenced Ng to six years and six months in jail. Step-by-step tutorial on desktop: Private channels are only accessible to subscribers and don’t appear in public searches. To join a private channel, you need to receive a link from the owner (administrator). A private channel is an excellent solution for companies and teams. You can also use this type of channel to write down personal notes, reflections, etc. By the way, you can make your private channel public at any moment. Hui said the messages, which included urging the disruption of airport operations, were attempts to incite followers to make use of poisonous, corrosive or flammable substances to vandalize police vehicles, and also called on others to make weapons to harm police.
from us
