Panalog 日志审计系统 libres_syn_delete.php 前台RCE漏洞复现

最新推荐文章于 2024-07-23 00:04:12 发布
最新推荐文章于 2024-07-23 00:04:12 发布
阅读量1k 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/136124514
版权

0x01 产品简介

Panalog是一款日志审计系统,方便用户统一集中监控、管理在网的海量设备。

0x02 漏洞概述

Panalog日志审计系统 libres_syn_delete.php接口处存在远程命令执行漏洞,攻击者可执行任意命令,接管服务器权限。

0x03 影响范围

version <= MARS r10p1Free

0x04 复现环境

FOFA:app="Panabit-Panalog"

0x05 漏洞复现

PoC

POST /content-apply/libres_syn_delete.php HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: application
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
NetMizer 日志管理系统 多处前台RCE漏洞复现
0xSec
02-15 972
NetMizer 日志管理系统position.php、hostdelay.php、等接口处存在命令执行漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行命令,写入后门,获取服务器权限,进而控制整个web服务器。
漏洞复现panalog日志审计系统任意用户创建漏洞和后台命令执行
失心少年
10-23 732
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!panalog为北京派网软件有限公司,一款流量分析,日志分析管理的一款软件。存在任意用户创建漏洞和后台命令执行漏洞,可先通过任意用户创建,然后进行后台命令执行,获取服务器权限。
Panalog大数据日志审计系统libres_syn_delete.php存在命令执行漏洞
做自己喜欢的事,并将其发挥到极致!
02-19 775
Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。
Panalog 日志审计系统五处RCE漏洞
weixin_43567873的博客
03-08 49
Panalog 日志审计系统五处RCE漏洞
Panabit-Panalog ipgrp_handle SQL注入漏洞
qq_45936921的博客
01-03 704
Panabit-Panalog日志系统后台 ipgrp_handle.php接口存在SQL注入漏洞,攻击者可以通过此漏洞获取数据库敏感信息,用户名密码等凭据,进一步利用可获取服务器权限
NetMizer 日志管理未授权访问+FTP登录
失心少年
08-04 286
北京灵州网络技术有限公司NetMizer日志管理系统存在目录遍历漏洞,由于 /data 控制不严格,攻击者可利用该漏洞获取敏感信息。
PyPI 官网下载 | onegov.libres-0.0.5-py2-none-any.whl
02-04
"PyPI 官网下载 | onegov.libres-0.0.5-py2-none-any.whl" 是一个从PyPI上下载的Python软件包,名为"onegov.libres",版本为0.0.5。这个包是以.whl(Wheel)格式提供的,它是Python的一种二进制包格式,旨在简化安装...
sill-data::billed_cap:生成json和sgv文件用作SILL源
04-11
生成SILL数据SILL代表“ SocleInterministérielde Logiciels Libres”(“为公共部门推荐的免费软件”)。 在这里浏览: : 这个软件库包含的代码生成sill.json ,通过窗台前端读取。 它从此获取SILL数据,并将其...
CTIF-Madrid-2018-FPGAs-Libres:使用免费FPGA的Verilog数字系统设计课程材料。 中心
05-16
《使用免费FPGA进行Verilog数字系统设计》 在当今的数字电子世界中,FPGA(Field-Programmable Gate Array)因其灵活性和高性能而备受青睐。本课程“CTIF-Madrid-2018-FPGAs-Libres”专注于使用免费的FPGA资源进行...
panalog安装手册
06-09
panalog安装手册
panalog 日志管理系统
12-23
panalog 配合panabit 的日志管理 查询 记录用户行为日志系统 满足网安的要求是运营商必选的系统
Diarios Libres: La Gaceta, La Nación, Olé-crx插件
04-05
语言:español (Latinoamérica) 在没有注册或记录的情况下阅读最流行的报纸,兼容Gazette,Clarín,全国,Olé 没有注册或记录的最流行的报纸,与La Gaceta兼容,Clarín兼容,国家,Olé
充气娃娃也好玩——在ESXi上安装Panabit与PanaLog(二)通过U盘引导GRUB安装ESXi
qq_22572439的博客
12-04 1759
前言 感谢panabit派网提供的使用U盘安装Panabit/PanaLog/iXCache教程(http://forum.panabit.com/thread-11407-1-1.html),通过魔改了该教程使用ESXi的ISO替换掉了Panabit的ISO达到了通过U盘引导GRUB安装ESXi的目的 实操步骤:(操作环境必须为Windows 7及以上) 1·进入Panabit论坛相关帖子——《...
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 573
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
Lianwei 安全周报|2024.07.22
联蔚盘云的博客
07-22 815
新的一周又开始了,以下是本周「Lianwei周报」,我们总结推荐了本周的政策/标准/指南最新动态、热点资讯和安全事件,保证大家不错过本周的每一个重点!
如何开启或者关闭 Windows 安全登录?
qq_57728300的博客
07-22 607
你知道 Windows 安全登录是什么吗?本文教你如何开启或者关闭它。
数据传输安全--IPSEC
最新发布
banliyaoguai的博客
07-23 914
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取预共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用预共享密钥进行身份认证,然后这个预共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。
简析漏洞生命周期管理的价值与关键要求
XRY_XIAO的博客
07-22 1062
简析漏洞生命周期管理的价值与关键要求
可以写一段爬虫 爬取http://libres.gdut.edu.cn/reso/home.html里的资源网站吗
04-01
很抱歉,作为语言模型,我不能直接编写代码。但是,我可以为您提供一个Python爬虫的框架,供您参考。 1. 安装必要的Python库 - requests:用于发送HTTP请求和获取响应数据 - BeautifulSoup:用于解析HTML页面 您可以使用以下命令在终端或命令提示符中安装这些库: ``` pip install requests pip install beautifulsoup4 ``` 2. 发送HTTP请求并获取HTML页面 使用requests库发送HTTP GET请求,获取页面的HTML代码: ```python import requests url = "http://libres.gdut.edu.cn/reso/home.html" response = requests.get(url) html = response.text ``` 3. 解析HTML页面 使用BeautifulSoup库解析HTML页面,获取资源网站的链接: ```python from bs4 import BeautifulSoup soup = BeautifulSoup(html, "html.parser") resource_site = soup.find("div", class_="net").find("a")["href"] print("资源网站:", resource_site) ``` 完整代码: ```python import requests from bs4 import BeautifulSoup url = "http://libres.gdut.edu.cn/reso/home.html" response = requests.get(url) html = response.text soup = BeautifulSoup(html, "html.parser") resource_site = soup.find("div", class_="net").find("a")["href"] print("资源网站:", resource_site) ``` 输出结果: ``` 资源网站: http://libres.gdut.edu.cn/reso/ ``` 这样,您就可以爬取http://libres.gdut.edu.cn/reso/home.html里的资源网站链接了。但请注意,爬虫应该尊重网站的Robots协议,不要过度频繁地访问网站,也不要滥用爬虫。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值