天擎终端安全管理系统未授权访问&SQL注入漏洞

最新推荐文章于 2024-04-05 15:09:49 发布
最新推荐文章于 2024-04-05 15:09:49 发布
阅读量3.3k 收藏 2
点赞数 2
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41901122/article/details/116456796
版权
本文详细介绍了天擎终端安全管理系统存在的未授权访问及SQL注入漏洞,包括漏洞描述、影响版本、复现步骤及修复建议。用户可获取节点与数据库信息,目前厂商尚未提供修复方案,建议部署在内网并限制访问。
摘要由CSDN通过智能技术生成

文章目录

漏洞名称

  • 天擎终端安全管理系统未授权访问&SQL注入漏洞

漏洞描述

  • 天擎终端安全管理系统是面向政企单位推出的一体化终端安全产品解决方案。
  • 该产品集防病毒、终端安全管控、终端准入、终端审计、外设管控、EDR等功能于一体,兼容不同操作系统和计算平台,帮助客户实现平台一体化、功能一体化、数据一体化的终端安全立体防护;
  • 天擎终端安全管理系统存在未授权访问和SQL注入,可获取大量节点信息以及数据库信息。

影响版本

  • 天擎终端安全管理系统

FOFA

app="360天擎终端安全管理系统"

漏洞复现

未授权复现
第一步 查看漏洞点
/api/dbstat/gettablessize

在这里插入图片描述

第二步 查看越权访问<
了解本专栏 订阅专栏 解锁全文 超级会员免费看
星球守护者
关注
专栏目录
订阅专栏
漏洞复现】360天擎 - 授权sql注入
失心少年
07-31 156
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!比较推荐的方式先测试是否存在数据库信息泄露,存在的话大概率存在SQL注入。路由后拼接/api/dbstat/gettablessize。360天擎 - 授权sql注入
360新天擎终端安全系统信息泄露漏洞及poc脚本批量验证
weixin_43802646的博客
09-14 1423
360新天擎终端安全系统是面向行政单位的一系列产品安全处理方案,该终端安全系统存在授权访问漏洞,导致一定敏感信息泄露。
CNVD-2020-62853 360天擎终端安全管理系统越权访问漏洞复现
afei001
04-24 2026
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 FOFA实战复现 4.2 360_Day-with_Unauthorized_POC-2.py 5.漏洞修复 声明:以下脚本具有攻击性,请勿非法使用,否则后果自负。请勿进行非授权测试,否则后果自负。 1.漏洞概述 360天擎终端安全管理系统,以大数据技术为支撑、以可靠服务为保障,它能够为用户精确检测已知病毒木马、知恶意代码,有效防御APT攻击,并提供终端资产管理、漏洞补丁管理、安全运维管控、...
Goby 漏洞发布|天擎终端安全管理系统 YII_CSRF_TOKEN 远程代码执行漏洞
m0_46699477的博客
07-19 2283
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。奇安信天擎终端安全管理系统web部分使用yii框架 该版本框架自带反序列化入口点,攻击者可执行任意代码获取服务器权限。
360天擎sql注入&&授权访问
weixin_43227251的博客
04-14 3596
天擎 前台SQL注入 漏洞描述 天擎 存在SQL注入,攻击者可以通过漏洞上传木马 FOFA指纹 title=“360新天擎漏洞复现 漏洞地址 /api/dp/rptsvcsyncpoint?ccid=1 注入写shell: sqlmap python sqlmap.py -u https://x.x.x.x:8443/api/dp/rptsvcsyncpoint?ccid=1 --dbms PostgreSQL 天擎 数据库信息泄露漏洞 漏洞描述 天擎 存在授权越权访问,造成敏感信息泄露 漏洞复现
wgpsec#peiqi-wiki#天擎 授权越权访问1
07-25
天擎 数据库信息泄露漏洞漏洞描述天擎 存在授权越权访问,造成敏感信息泄露漏洞影响天擎漏洞复现已上传
天擎终端安全管理系统clientinfobymid存在SQL注入漏洞
3tefanie丶zhou的博客
12-29 1416
【故事、故事,便是故去的事情了,多说无益。】
某60终端安全管理系统前台SQL注入漏洞复现
afei001
04-10 2356
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞复现 4.1 FOFA实战复现 4.1.1 SQLmap爆库 4.1.2 尝试--os-shell 4.1.3 反弹shell 4.1.4 写入Webshell 4.2 360_Day-with_front-desk_SQLi-EXP 5.漏洞修复 声明: 文中脚本具有攻击性,请勿违法使用,否则后果自负! 1.漏洞概述 360天擎终端安全管系统是360面向政府、企业、金融、军队、医疗...
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞(含批量验证poc)
最新发布
weixin_43567873的博客
04-05 236
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞(含批量验证poc)
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞
weixin_43567873的博客
03-09 194
奇安信360天擎rptsvcsyncpoint和getsimilarlistSQL SQL注入漏洞
360天擎-前台sql注入1
08-03
1. 通过安装包安装的一般都有root权限,因此该注入点可尝试写shell 2. 通过注入点,创建一张表 O 3. 为 表O 添加一个新字段 T 并且写入she
常见poc漏洞模块,直接导入用。
07-22
一些只有你自己知道的漏洞,或者比较偏门的漏洞,就需要咱们自己来编写PoC或者是EXP。因为Goby没有开源,所以也能编写一些基于http命令执行的漏洞
2021行动漏洞汇总.pdf
08-05
7. 金山终端安全系统V8/V9文件上传漏洞:金山终端安全产品存在漏洞,攻击者可以上传恶意文件,可能导致系统被控制或数据泄露。 8. 微软官方域名被劫持,并发布木马补丁:该事件中,微软的官方域名遭到了劫持,并...
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
08-21 3315
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
2021HW — 360天擎漏洞
战神/calmness的博客
04-13 3751
FOFA搜索 1、授权访问 http://X.X.X.X/api/dbstat/gettablessize 2、授权访问 3、延时注入 http://1XXXX/api/dp/rptsvcsyncpoint?ccid= GET /api/dp/rptsvcsyncpoint?ccid=';SELECT PG_SLEEP(5)-- HTTP/1.1 Host: XXXXXXXXXXX Cache-Control: max-age=0 Upgrade-Ins.
360新天擎授权访问数据库名及表名漏洞exp
Cwillchris的博客
06-26 678
python3 fofa-cwillchris.py -k title="360新天擎"将上面爬取到的文件(一般是final****.txt)移动到脚本目录下,保存为1.txt。./360新天擎数据库及表授权.bin -l 1.txt (先用fofa脚本爬取所有碧海威相关资产(
奇安信360天擎getsimilarlist存在SQL注入漏洞
holyxp的博客
11-09 999
奇安信天擎是奇安信集团旗下一款致力于一体化终端安全解决方案的终端安全管理系统(简称“天擎”)产品。通过“体系化防御、数字化运营”方法,帮助政企客户准确识别、保护和监管终端,并确保这些终端在任何时候都能可信、安全、合规地访问数据和业务 [1] 。 [2] 天擎基于奇安信全新的“川陀”终端安全平台构建,集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能
奇安信天擎终端安全管理系统管理员手册
05-17
奇安信天擎终端安全管理系统管理员手册提供了管理奇安信天擎终端安全管理系统的详细指南。以下是一些常见的主题: 1. 系统安装和配置:这包括安装天擎终端安全管理系统、配置系统设置和用户帐户。 2. 系统管理:这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星球守护者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值