CVE-2020-21224 PoC — 浪潮 Inspur ClusterEngine 参数注入漏洞

Source

https://github.com/5l1v3r1/CVE-2020-21224

Associated Vulnerability

Title:浪潮 Inspur ClusterEngine 参数注入漏洞 (CVE-2020-21224)
Description:浪潮 Inspur ClusterEngine是中国浪潮公司的一个应用软件。提供管理集群系统中软硬件提交的作业。 Inspur ClusterEngine V4.0 存在安全漏洞，远程攻击者可利用该漏洞可以向控制服务器发送恶意登录报文。

Description

浪潮ClusterEngineV4.0 远程命令执行漏洞扫描脚本。

Readme

# CVE-2020-21224
浪潮ClusterEngineV4.0存在危险字符未过滤，导致远程命令执行。


## 漏洞编号

CVE-2020-21224

## 工具利用

python3 CVE-2020-21224.py -u http://127.0.0.1:1111 单个url测试

python3 CVE-2020-21224.py -f url.txt 批量检测

![](./poc.png)

## exp利用
![](./exp.png)

## 免责声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

File Snapshot


 [4.0K]  /data/pocs/fb4b3d31449e57af714dffbc27a2f96e29b74527
├── [3.3K]  CVE-2020-21224.py
├── [ 42K]  exp.png
├── [ 32K]  poc.png
└── [ 500]  README.md

0 directories, 4 files

Shenlong Bot has cached this for you

Remarks

1. It is advised to access via the original source first.

2. If the original source is unavailable, please email f.jinxu#gmail.com for a local snapshot (replace # with @).

3. Shenlong has snapshotted the POC code for you. To support long-term maintenance, please consider donating. Thank you for your support.

Goal Reached Thanks to every supporter — we hit 100%!