1、描述
蓝海卓越计费管理系统公网已经爆出两个漏洞,任意文件读取和远程命令执行,本次为后台RCE漏洞。
2、影响范围
蓝海卓越计费管理系统
3、FOFA
漏洞复现
漏洞存在点很简单,就是没有对输入的过滤
执行拼接代码执行,这里有个点需要注意以下,就是接口不能存在,才能进行拼接,当接口不存在的时候,接口调用为空,则后面可以进行拼接
无任何其他的过滤操作
端口一般开在6070
Hostname=114.114.114.114|ls -la&physicalInterface=1&pingCount=1
漏洞文库:wiki.xypbk.com
免费授权已发放完毕,以后不定期发放授权。
如有特殊需要请留言,或提交一篇自挖或公网未流出漏洞,即可获取授权
如需投稿请后台回复"投稿"获取微信,添加微信后直接发送漏洞文章即可。
本站开设的起因是因为某一次HW,查漏洞真的太麻烦了,就想起来做了一个站点,本意就是自己用来快速检索漏洞详情的,为了方便大家就公开了,但是这样就又会被不法份子利用,和影响一些大佬的权益。
为防止黑产份子的非法利用漏洞,不给国家安全添麻烦,本站从此开启授权访问。
如若因漏洞利用产生重大影响,会根据登录IP、请求内容、申请授权等信息进行查证,查证后将对号主进行追责,故不要分享账号,终害己身。
虽然比较麻烦了些,但会稍微对黑产份子有一些限制,保证了本站安全,也保证国家安全。同时有些敏感东西也能第一时间放出来了,还请大家谅解。
同时本站承诺永远不会出现买卖账号等利益相关的事情,本站永不割韭菜,永久免费检索,坚决抵制安全圈的歪风邪气。
最后,若大家对此有意见请后台留言,本站将及时改正,若内容有侵犯您的权益,请及时提出,进行删除处理。
本站能坚持多久全看大家是否滥用,内容若更新较慢也请谅解,本人有工作有生活,会尽量坚持更新的。
扫取二维码获取
更多精彩
Qingy之安全
点个在看你最好看
本文始发于微信公众号(Qingy之安全):蓝海卓越计费管理系统存在后台RCE漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论