0x01 免责声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
0x02 产品介绍
百卓Smart管理平台是北京百卓网络技术有限公司(以下简称百卓网络)的一款安全网关产品,是一家致力于构建下一代安全互联网的高科技企业。
0x03 漏洞威胁
百卓Smart管理平台 importexport.php 接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
0x04 漏洞环境
FOFA:title="Smart管理平台"
0x05 漏洞复现
0x06 批量验证脚本
nuclei验证脚本已发布于知识星球《冷漠安全》
./nuclei -t CVE-2024-27718.yaml -l CVE-2024-27718.txt
0x07 修复建议
关闭互联网暴露面或接口设置访问权限。
建议您更新当前系统或软件至最新版,完成漏洞的修复。
加入星球请扫描下方二维码,更多精彩,敬请期待!!!
👇👇👇