WEBPWN Telegram 373
#owncloud

Для owncloud была классная CVE-2023-49105

Сплоет реализован в качестве прокси, которая подписывает запросы и можно через нее ходить на dav://, используя клиент Filezilla, Cyberduck, короч кто-что юзает.

Сначала ставим ten, запускаем проксю, но не наслаждаемся.

Потому что из коробки сплоет у меня не завелся, клиенты, видимо, не могут корректно распарсить ответ.
А я просто вывел ответ от прокси через print(response.text), и собрал список файлов. Сами файлы можно получать уже через curl/wget/браузер, так как для скачивания файлов достаточно GET запроса.

Типа wget localhost:8800/remote.php/dav/files/admin/Report.7z

Быстро чекнуть уязвимый ли owncloud можно через другую CVE-2023-49103:
/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php/webpwn.css

Если открылся phpinfo() - то, скорее всего, систему не обновляли, а эти CVE'шки вышли рядом.

>



tgoop.com/webpwn/373
Create:
Last Update:

#owncloud

Для owncloud была классная CVE-2023-49105

Сплоет реализован в качестве прокси, которая подписывает запросы и можно через нее ходить на dav://, используя клиент Filezilla, Cyberduck, короч кто-что юзает.

Сначала ставим ten, запускаем проксю, но не наслаждаемся.

Потому что из коробки сплоет у меня не завелся, клиенты, видимо, не могут корректно распарсить ответ.
А я просто вывел ответ от прокси через print(response.text), и собрал список файлов. Сами файлы можно получать уже через curl/wget/браузер, так как для скачивания файлов достаточно GET запроса.

Типа wget localhost:8800/remote.php/dav/files/admin/Report.7z

Быстро чекнуть уязвимый ли owncloud можно через другую CVE-2023-49103:
/apps/graphapi/vendor/microsoft/microsoft-graph/tests/GetPhpInfo.php/webpwn.css

Если открылся phpinfo() - то, скорее всего, систему не обновляли, а эти CVE'шки вышли рядом.

>

BY Кавычка




Share with your friend now:
tgoop.com/webpwn/373

View MORE
Open in Telegram


Telegram News

Date: |

“Hey degen, are you stressed? Just let it all out,” he wrote, along with a link to join the group. Done! Now you’re the proud owner of a Telegram channel. The next step is to set up and customize your channel. The group also hosted discussions on committing arson, Judge Hui said, including setting roadblocks on fire, hurling petrol bombs at police stations and teaching people to make such weapons. The conversation linked to arson went on for two to three months, Hui said. To delete a channel with over 1,000 subscribers, you need to contact user support When choosing the right name for your Telegram channel, use the language of your target audience. The name must sum up the essence of your channel in 1-3 words. If you’re planning to expand your Telegram audience, it makes sense to incorporate keywords into your name.
from us


Telegram Кавычка
FROM American