中科网威-anysec安全网关 arping 远程命令执行漏洞复现(CNVD-2024-46119)

已于 2024-12-14 17:37:18 修改
阅读量538 收藏 1
点赞数 4
分类专栏: 漏洞复现v2 文章标签: 安全 web安全
于 2024-12-14 17:36:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/144473337
版权

0x01 产品简介

深圳市中科网威科技有限公司成立于深圳市南山科技园信息产业化基地(也有说法称总部位于深圳市福田国际电子商务产业园),是深圳市高新技术企业、双软企业。公司致力于VPN防火墙、流量监控、网络行为管理、ANYSEC安全网关、IT运维设备等前沿网络设备的研发、生产和销售。ANYSEC安全网关是中科网威基于Linux平台自主研发生产的集上网行为管理、流量监控、防火墙、VPN、路由交换、多线路负载均衡等多功能于一体的安全网关产品。其设计目的是将复杂的网络安全防护技术变得普及、简单、易用。

0x02 漏洞概述

中科网威-anysec安全网关 /cgi-bin/system/arping.cgi接口存在远程命令执行漏洞,经过身份验证的恶意攻击者可以利用该漏洞远程执行任意命令,获取系统权限。

0x03 复现环境

FOFA:app="中科网威-anysec"

0x04 漏洞复现

弱口令登录系统

admin/anysec

了解本专栏 订阅专栏 解锁全文 超级会员免费看
漏洞复现中科-anysec安全网关 arping 远程命令执行漏洞复现(CNVD-2024-46119)
m0_71944965的博客
01-15 82
中科-anysec安全网关 /cgi-bin/system/arping.cgi接口存在远程命令执行漏洞,经过身份验证的恶意攻击者可以利用该漏洞远程执行任意命令,获取系统权限。
中科 下一代防火墙控制系统 账号密码泄露漏洞
孤桜懶契
04-27 1929
漏洞描述 i ⭐中科 下一代防火墙控制系统 存在账号密码泄露漏洞,攻击者通过前端获取密码的Md5后解密可获取完整密码登陆后台 漏洞影响 s ✅中科 下一代防火墙控制系统 空间测绘 d ⭕FOFA:body="Get_Verify_Info(hex_md5(user_string)." 漏洞复现 访问后登录页面如下 ✅ F12查看前端发现 admin的md5加密密码 var persons = [{"name":"admin","password":"64ef657e3414cd
Dest1ny漏洞库:中科 anysec 安全网关 arping 远程命令执行漏洞CNVD-2024-46119
m0_70065235的博客
04-09 173
Dest1ny漏洞库:中科 anysec 安全网关 arping 远程命令执行漏洞CNVD-2024-46119
2024年12月近日漏洞 漏洞情报下载
CZDN_0dayPoz的博客
12-20 843
用友U8 Cloud ReleaseRepMngAction 存在SQL注入漏洞(CNVD-2024-33023)Sitecore CMS 未经身份验证export 任意文件读取漏洞复现(CVE-2024-6781)Cleo文件传输软件Synchronization 存在任意文件读取漏洞(CVE-2024-50623)MitelMiCollab 身份绕过导致任意文件读取漏洞复现(CVE-2024-41713).d。CRMEB save_basics存在任意文件下载漏洞(CVE-2024-52726)
2024年12月近日漏洞 漏洞情报
CZDN_0dayPoz的博客
12-20 968
用友U8 Cloud ReleaseRepMngAction 存在SQL注入漏洞(CNVD-2024-33023)Sitecore CMS 未经身份验证export 任意文件读取漏洞复现(CVE-2024-6781)Cleo文件传输软件Synchronization 存在任意文件读取漏洞(CVE-2024-50623)MitelMiCollab 身份绕过导致任意文件读取漏洞复现(CVE-2024-41713).d。CRMEB save_basics存在任意文件下载漏洞(CVE-2024-52726)
WEB安全--Java安全--shiro550反序列化漏洞
m0_74800552的博客
05-16 214
shiro550反序列化
安全巡检清单
yh
05-15 871
软件状态巡检应深入到系统内核层面。漏洞扫描是软件状态巡检的重要组成部分,需要定期对络设备、主机、数据库、应用系统等进行全面的漏洞扫描,利用专业的扫描工具发现已知和未知的安全漏洞。通过严格执行本清单所列的各项检查内容,并结合企业自身的业务特点和安全需求进行适当调整和补充,可以有效地提升信息系统的整体安全水平,降低安全风险,为企业的稳健发展提供坚实保障。通过周期性的状态检查、安全扫描、日志分析和补丁管理,可以及时发现并修复潜在的安全隐患和漏洞,确保络设备、服务器、操作系统及应用系统的高可用性和安全性。
AI智能分析关V4周界入侵检测算法精准监测与智能分析,筑牢周界安全防线
NVR安防视频技术
05-14 524
随着安全防范需求的不断提升,传统周界安防系统存在误报率高、响应迟缓、智能化程度低等问题,难以满足现代化安全管理的要求。
安全版4.5.8开启审计后,hac+读写分离主备切换异常
HighGO
05-16 181
异常:hac集群一主两备环境,开启hgproxy和审计功能后,进行集群主备切换操作。切换过程持续近5分钟,主库方可切换到备节点上,其中未参与切换(原主与新主外的备节点)的备库无法拉起,持续restarting状态很长时间后start failed。解决此问题的安装包:hgdb-see-4.5.8-6954d9f.aarch64.rpm。BUG安装包: hgdb-see-4.5.8-db43858.aarch64.rpm。1、临时解决方案:关闭审计功能,修改审计参数后需要重启集群。系统平台:UOS (飞腾)
中大型水闸安全监测系统解决方案
weixin_48039531的博客
05-16 417
然而,由于历史原因,许多水闸存在建设标准偏低、质量较差、配套设施不完善等问题,加之受“重建轻管”思想影响,多数水闸建成后缺乏有效的管理和维修养护,存在较多的安全隐患,安全运行风险突出。现代化的水闸安全监测系统不仅能够实现实时监测、数据分析、预警报警等功能,还能够通过三维可视化技术,实现水闸运行状态、水流情况、水位变化等数据的直观展示,为管理决策提供更加科学、准确的依据。通过实时监控水闸的结构状态、水文数据和环境变化,可以及时发现潜在的风险和问题,从而采取相应的预防措施,确保水闸的稳定性和耐久性。
UWB定位方案在水力发电站人员安全的应用推荐
weixin_42730005的博客
05-16 486
水力发电站具有‌环境复杂‌(金属设备密集、高温高压区域多)、‌安全风险高‌(人员误入高危区域易引发事故)等特点,传统定位技术难以满足精度与可靠性要求。品铂科技基于UWB的高精度定位系统已在多地大型水电站成功落地,如‌白鹤滩水力发电站‌项目中实现人员实时定位与高危区域管控。
水库雨水情测报与安全监测系统解决方案
weixin_48039531的博客
05-16 671
通过构建一个全面的雨水情自动测报系统、一个全面的大坝安全监测系统,以及配套的视频监控等设施,我们能够实现对水库运行状态的全方位、多角度的实时监控,确保在任何情况下都能迅速采取措施,保障水库及周边地区的安全。实现在线监测的地图显示、查看,包括监测设备的快速查询显示、监测数据展示、报警情况显示及监测数据曲线图的实时展示,通过系统主界面的显示功能,可以查看设备的位置、运行状态,掌握其水库库坝体浸润线及坝体内孔隙水压力、库内水位、水库出入入流量、降雨量、坝体位移的实时监测。还可根据需求在现场终端设置存储年限。
遨游5G-A防爆手机:赋能工业通信更快、更安全
AORO_BEIDOU的博客
05-13 643
当5G-A络以超高速率、海量连接和毫秒级时延重塑行业生态时,防爆手机这一细分领域亟需突破传统技术框架,构建符合新时代需求的安全通信解决方案。
如何用PDO实现安全的数据库操作:避免SQL注入
2402_82472226的博客
05-16 190
本文介绍了如何使用PHP的PDO扩展实现安全的数据库操作,避免SQL注入攻击。SQL注入是一种常见的安全漏洞,攻击者通过恶意输入操控数据库。PDO通过预处理语句和参数绑定有效防止SQL注入。文章详细说明了如何创建PDO连接、使用预处理语句和参数绑定,并建议设置错误模式为异常以更好地处理错误。通过合理利用PDO的功能,可以显著提高应用的安全性,防止SQL注入攻击。
什么是TCP协议?它存在哪些安全挑战?
yundun_no1的博客
05-15 310
TCP(传输控制协议)是互联中面向连接、可靠的传输层协议,主要负责在不可靠的IP层上实现数据的可靠传输。面向连接:通信前需通过三次握手(SYN-SYN/ACK-ACK)建立连接,确保双方就绪。可靠性:通过序列号、确认应答(ACK)、超时重传和校验和机制,保障数据无丢失、无重复、按序到达。流量控制与拥塞控制:使用滑动窗口动态调整发送速率,避免络过载。全双工通信:支持双向数据传输,双方可同时发送和接收数据。TCP协议是互联的基石,但其安全性依赖于上层协议和管理措施。
除了GC哪些地方有用到安全
有时间就写写代码
05-15 590
安全点在多个编程场景中至关重要,尤其是在并发编程和多线程环境中。首先,在多线程同步中,安全点通过锁机制(如ReentrantLock)确保线程在访问共享资源时不会被中断,避免竞争条件。其次,在内存屏障中,安全点(如volatile关键字)防止指令重排序,确保多核处理器中的数据一致性。此外,在数据库事务中,保存点作为安全点允许部分回滚,提升性能。最后,在实时操作系统中,安全点通过资源锁定确保任务切换时的系统稳定性。总之,安全点在多线程、内存管理、数据库和实时系统等场景中,通过确保一致性和安全性,有效避免了竞态
人脸识别备案:筑牢人脸信息 “安全墙”
2501_91088474的博客
05-13 683
人脸识别备案制度主要依据《人脸识别技术应用安全管理办法》建立,人脸识别技术广泛应用于安防、金融、门禁、交通等领域,带来便利高效的同时,人脸信息安全问题也引发担忧。为规范技术应用、保护个人信息权益,人脸识别备案制度应运而生。
HGDB企业版迁移到HGDB安全
HighGO
05-15 847
F format或者–format=format:设定文件输出的格式,format的值有p(plain)、c(custom)等,p是备份成纯文本的SQL脚 本,c是自定义格式,选择c时,文件扩展名一般是.backup。-n schema或者–schema=schema:指定备份的模式,多个模式时写-n schema1 -n schema2…-a, --data-only: 只转储数据,不包括模式。-s或者–schema-only:只备份DDL,与–data-only相反。
关于 Web安全:1. Web 安全基础知识
最新发布
Triste__chengxi的博客
05-16 925
内容说明HTTP 请求请求行 + 请求头 + 空行 + 请求体(可选)HTTP 响应状态行 + 响应头 + 空行 + 响应体状态码1xx信息,2xx成功,3xx重定向,4xx客户端错,5xx服务器错HTTPSHTTP + SSL/TLS加密HTTPS 工作流程证书交换、密钥协商、加密通信属性用途是否可防攻击HttpOnly禁止 JS 访问防止 XSSSecure只在 HTTPS 传输防止 MITMSameSite跨站请求限制防止 CSRFExpires。
数据防泄密安全:企业稳健发展的守护盾
jinan886的博客
05-14 360
数据安全无小事,防患于未然才是最佳策略!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值