POC

보안/PoC 분석

XWiki Admin Tools Application에서 발생하는 CSRF를 통한 RCE 취약점(CVE-2023-48292)

XWiki Admin Tools Application 이란?- XWiki 인스턴스를 관리하기 위한 다양한 도구를 제공하는 애플리케이션- Admin.RunShellCommand는 XWiki Admin Tools Application 내의 특정 기능 페이지 중 하나로, 서버에서 쉘 명령어를 실행하는 기능을 담당 CSRF(Cross-Site Request Forgery)란?- 공격자가 사용자가 신뢰하는 웹 애플리케이션에서 사용자의 권한을 도용하여 원하지 않는 요청을 실행시키는 취약점- 하기 취약점의 경우, 공격자가 악성 URL을 포함한 콘텐츠를 삽입하고, 관리자가 악성 URL이 포함된 콘텐츠 확인 시 공격 실행됨 취약점 설명XWiki Admin Tools Application에 CSRF 보호를 위한 토큰 ..

보안/PoC 분석

OpenPanel에서 발생하는 OS Command Injection(CVE-2024-53584)

OpenPanel 이란?OpenPanel은 리눅스 기반 서버를 관리할 수 있도록 설계된 오픈소스 웹 호스팅 제어판 취약점 설명OpenPanel 0.3.4의 /server/timezone 경로의 시간을 설정하는 기능에서 timezone 파라미터 내 입력 값을 처리하는 과정에서 입력 값이 쉘 명령어로 직접 전달되는 경우가 존재공격자는 이 파라미터에 세미콜론(;)과 같은 명령 구분자를 사용하여 추가적인 악성 명령어를 삽입할 수 있으며, 이는 서버 시스템에서 임의의 명령어를 실행할 수 있음 취약점 분석아래 PoC는 OpenPanel 0.3.4에서 OS Command Injection 취약점을 악용하는 HTTP POST 요청의 예시# Exploit Title: OpenPanel 0.3.4 - OS Comman..

Security Engineer
'POC' 태그의 글 목록
상단으로

티스토리툴바