【漏洞复现】睿因科技-wavlink-路由器-多处前台RCE

已于 2024-01-18 10:21:19 修改
阅读量373 收藏 8
点赞数 7
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
于 2024-01-05 16:33:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135412204
版权
本文介绍了睿因(wavlink)路由器存在命令执行漏洞,攻击者可构造请求包执行系统命令,获取未授权访问权限。内容包括产品简介、漏洞概述、网络测绘以及漏洞复现的详细步骤。
摘要由CSDN通过智能技术生成

目录

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

0x01 产品简介

        睿因(wavlink)是一个国际知名品牌,其营销总部设立在中国香港,生产总部位于中国深圳。睿因(wavlink)以高科技和人性化为出发点,围绕PC及移动设备的周边,提出了无线、网络、数码、影音、多显示等解决方案。 

0x02 漏洞概述

        睿因(wavlink)路由器,cgi-bin下的多处接口存在命令执行漏洞,允许攻击者通过构造特制的请求包执行系统命令,从而获取未授权的访问权限。攻击者可以利用这个漏洞来获取敏感信息、篡改配置,甚至导致网络和设备的不可预测的损害。

0x03 网络测绘

icon_hash="-1350437236"

0x04 漏洞复现

POST /cgi-bin/mesh
了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
wavlink 路由器 多处前台RCE漏洞复现
0xSec
12-21 1150
WAVLINK路由器mesh.cgi、nightled.cgi、live-api.cgi等接口处存在命令执行漏洞,攻击者可通过该漏洞获取服务器权限。包含型号WN530HG4、WN531G3、WN572HG3、WN535G3、WN575A4等。
漏洞复现Wavlink路由器远程命令执行漏洞
失心少年
01-09 587
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!科技Wavlink路由器存在远程命令执行漏洞,通过此漏洞攻击者可执行任意命令,如写入木马文件,远程控制路由器。执行id命令,并将执行结果写入到路由器中。
无胁科技-TVD每日漏洞情报-2022-8-2
wuthreat无胁科技的博客
08-02 980
参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?参考链接https//tvd.wuthreat.com/#/listDetail?漏洞编号CVE-2022-34047;漏洞编号CVE-2022-25369。...
无胁科技-TVD每日漏洞情报-2022-8-3
wuthreat无胁科技的博客
08-03 186
相关涉及:应用-troglobit-uftpd-*-From-(including)-2.7-Up to-(including)-2.10-参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?参考链接:https://tvd.wuthreat.com/#/listDetail?...
D-Link DAR-8000操作系统命令注入漏洞(CVE-2023-4542)
weixin_44304678的博客
11-03 407
D-Link DAR-8000是中国友讯(D-Link)公司的上网行为审计网关。该漏洞源于文件/app/sys1.php的参数id会导致操作系统命令注入。D-Link DAR-8000-10版本存在操作系统命令注入漏洞
Weblogic CVE-2020-14882 未授权远程命令执行漏洞
读书 买花 长大
02-25 615
CVE-2020-14882
D-Link DAR-8000操作系统命令注入漏洞(CVE-2023-4542)_wavlink wn535k2 和 wn535k3 操作系统命令注入漏洞(cve-2022-2487
2401_84520026的博客
05-16 327
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。请在法律许可范围内使用。
Wavlink路由器远程命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-04 54
Wavlink路由器远程命令执行漏洞(含批量验证poc)
因(Wavlink) WL-WN575A3 固件 -A-RPTA3-75W.M4300.01.GD.2017Nov22
10-15
因(Wavlink)WL-WN575A3是一款高性能的无线路由器,这款设备的固件更新是保持其高效稳定运行的关键。固件,全称为"Firmware",是嵌入在硬件设备中的软件部分,它控制着设备的各项功能,包括网络连接、安全设置、...
因wn529n2a无线路由器怎么设置上网?
10-01
因WN529N2A无线路由器的设置过程对于初次接触此类设备的用户可能会显得有些复杂,但其实只要按照步骤进行,就能轻松完成联网配置。以下是一份详细的设置指南,帮助你了解如何让这款路由器正常工作并连接到互联网。...
因外置多屏显卡驱动 v7.6 官方版
07-03
因外置多屏显卡驱动是wavlink官方的驱动程序,本驱动为最新因外置显卡USB2.0驱动,支持包括因ug17v2、UG16M1、UG17H1等产品,需要的就来下载吧。因外置显卡USB2.0驱动支持型号WS-UG12D1WS-UG16D1WS-UG17D1WS...
RTL8197xD_V2.5_pkg:为 A2004NS 和 Wavlink_WL-WN527A2 路由器编译 OpenWRT 固件-开源
06-06
A2004NS、A2004NSv4 和 Wavlink_WL-WN527A2 无线双频千兆 AC 路由器,具有强大的硬件,但未得到 OpenWRT 社区的官方支持。 并非所有路由器用户都可以自行从源代码编译 OpenWRT 固件。 该项目旨在将这个缺失的 ...
wavlink:wavlink办公网站,网址为thinkphp5.1.39
03-27
本系统对科技有限公司提供终身服务,本程序采用的编程思路可以被用作二次开发利用。 系统特色 规范:遵循PSR-2,PSR-3和PSR-4规范,Composer和单元测试支持;严谨:异常严谨的错误检测和安全机制,详细的日志...
《密码编码学与网络安全原理与实践》第九章 第十章 公钥密码学与密钥管理
最新发布
m0_57291352的博客
08-09 894
原则上不能说传统密码优于公钥密码,也不能说公钥密码优于传统密码公钥密码学仅限于用在密钥管理和签名这类应用中与密钥分配中心的会话过程既不比传统密码中的那些过程更简单,也不比之更有效动机:简化密钥分配和管理、实现签名等功能不对称性是公钥最为重要的性质,可以用来保证“真实”性,“不可否认”性非对称密钥:两个密钥:公钥和私钥,用来实现互补运算,即加密和解密,或者生成签名与验证签名;公钥证书:认证机构将用户的姓名和公钥绑定在一起,用户用自己的私钥对数字文件签名后,可以通过证书识别签名者,因为签名者是唯一拥有与证书上对
【网络安全】本地文件包含及远程文件包含漏洞详解
goldfish8848的博客
08-05 899
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。这样编写代码能减少冗余,降低代码后期维护难度。保证网站整体风格统一:导航栏、底部footer栏等,把这些不会变的东西包含在一个文件中,可以保证整体效果的统一和代码量的减少。
网络安全入门教程(非常详细)从零基础入门到精通!
2301_77160226的博客
08-05 1168
网络安全领域犹如一座深邃的知识宝库,从零基础入门到精通是一段充满挑战但也充满收获的旅程。这不仅需要您对知识的不懈追求,更需要大量的实践与经验积累。希望本教程能够为您的网络安全学习之路点亮明灯,引领您在这个充满机遇与挑战的领域中稳步前行,最终成为一名优秀的网络安全专家,为构建安全的网络世界贡献自己的力量!
【网络安全】探索AI 聊天机器人工作流程实现RCE
等风来
08-06 215
我发现了一个广泛使用的AI聊天机器人平台中的远程代码执行漏洞。该漏洞存在于聊天机器人的自定义工作流响应代码中,这些工作流允许开发人员通过创建定制的流程来扩展机器人的功能。
Gartner发布2024年网络风险管理成熟度曲线:使网络安全战略与业务目标保持一致的概念、方法、流程和技术
lurenjia404的博客
08-07 709
网络风险管理现在是高管和监管机构最关注的问题,它采用多种方法和技术来支持治理、风险管理和合规性。安全和风险管理领导者可以使用此技术成熟度曲线来评估解决方案并做出适当的采用决策。
wavlink 路由器 live_api 远程命令执行漏洞
01-01
wavlink路由器live_api存在远程命令执行漏洞。该漏洞允许攻击者通过远程发送恶意请求的方式来执行任意命令,从而获取敏感信息或者对系统造成破坏。攻击者可利用此漏洞进行网络入侵、窃取数据或者进行其他恶意活动。 该漏洞可能会导致用户的个人信息泄露、网络安全受到威胁等风险。因此,wavlink路由器用户应立即升级固件,以修复此漏洞并提高网络安全防护能力。另外,用户还应当及时修改默认密码,禁止外部访问live_api接口,以减少遭受攻击的可能性。同时,加强网络安全意识,定期关注官方公告和安全更新,及时采取相应措施,保障网络设备和个人信息的安全。 对于厂商来说,需要加强产品的安全审计和测试,及时修复漏洞并推出安全补丁。加强网络设备的安全防护能力,保障用户网络环境的稳定和安全。最终实现网络安全的共建共享,共同打造更加安全可靠的网络环境。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值