云安宝-云匣子是租户连接云资源的安全管理工具,帮助云租户更加安全、精细的管理云上的虚拟机、数据库等资源。该系统ssoToolReport接口存在fastjson 漏洞可执行任意系统命令。
fofa: app="云安宝-云匣子"
请求包中的 Referer 不能删,服务端会检测该字段,需要改为对应的Hostname,可修改cmd为系统命令,获取执行结果
原文始发于微信公众号(银遁安全团队):【新接口】云安宝-云匣子ssoToolReport存在fastjson远程代码执行漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论