【漏洞复现】福建科立讯通信-指挥调度平台-send-fax-远程命令执行

最新推荐文章于 2024-11-14 22:03:18 发布
最新推荐文章于 2024-11-14 22:03:18 发布
阅读量156 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44905116/article/details/135823767
版权
本文介绍了福建科立讯通信的指挥调度管理平台,详细阐述了该平台存在的send-fax接口远程命令执行漏洞。攻击者能够通过构造恶意数据包来执行任意命令,可能导致系统安全风险。文章涵盖了漏洞概述、网络测绘和复现过程。
摘要由CSDN通过智能技术生成

目录

免责声明

0x01 产品简介

0x02 漏洞概述

0x03 网络测绘

0x04 漏洞复现

0x05 Nuclei

免责声明

此内容仅供技术交流与学习,请勿用于未经授权的场景。请遵循相关法律与道德规范。任何因使用本文所述技术而引发的法律责任,与本文作者及发布平台无关。如有内容争议或侵权,请及时私信我们!

0x01 产品简介

        福建科立讯通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度和管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。

0x02 漏洞概述

       福建科立讯通信指挥调度平台 send-fax 接口处存在命令执行

了解本专栏 订阅专栏 解锁全文 超级会员免费看
.Rain.
关注
专栏目录
订阅专栏
漏洞复现福建科立通信指挥调度平台down_file.php sql注入漏洞
失心少年
03-21 357
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!福建科立通信调度平台 20240318 以及之前版本存在一个严重漏洞,影响了文件 api/client/down_file.php 的一个未知功能。攻击者可以远程发起攻击。
福建科立通信 指挥调度管理平台 SQL注入漏洞复现(CVE-2024-2620、CVE-2024-2621、CVE-2024-2622、CVE-2024-2566)
0xSec
03-22 1100
福建科立通信指挥调度管理平台 down_file.php、pwd_update.php、editemedia.php、get_extension_yl.php、get_extension_yl.php等接口处存在SQL注入漏洞,攻击者除了可以利用 SQL 注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
漏洞复现科立通信指挥调度管理平台——uploadgps——SQL注入
LongL_GuYu的博客
07-10 589
科立通信指挥调度管理平台是一个专门针对通信行业的管理平台。其uploadgps接口存在sql注入,恶意攻击者可能会向数据库发送构造的恶意SQL查询语句。
漏洞复现科立通信指挥调度平台editemedia.php sql注入漏洞
失心少年
03-22 480
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!该漏洞被归类为关键级别,影响文件/api/client/editemedia.php的未知部分。通过操纵参数number/enterprise_uuid可导致SQL注入。攻击可能会远程发起。
漏洞复现福建科立通信 指挥调度管理平台弱口令漏洞
qq_34780861的博客
03-27 420
福建科立通信 指挥调度管理平台弱口令漏洞,黑客可以利用该漏洞登录系统。
漏洞复现福建科立通信指挥调度管理平台弱口令漏洞
Fly_鹏程万里
07-26 118
福建科立通信指挥调度管理平台弱口令漏洞
漏洞复现福建科立通信-指挥调度平台-get_extension_yl-sql注入
知黑而守白
03-25 156
福建科立通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。福建科立通信指挥调度管理平台 get_extension_yl 接口存在SQL注入漏洞
漏洞复现福建科立通信-指挥调度平台-uploadfile-任意文件上传
知黑而守白
01-18 156
福建科立通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。福建科立通信指挥调度平台 uploadfile 接口处存在文件上传漏洞。攻击者可以通过构特殊的数据包上传恶意代码文件到系统,从而带来严重安全威胁。
漏洞复现福建科立通信-指挥调度平台-get-gis-fence-warning-sql注入
知黑而守白
01-18 231
福建科立通信指挥调度管理平台是一个专门针对通信行业的管理平台。该产品旨在提供高效的指挥调度管理解决方案,以帮助通信运营商或相关机构实现更好的运营效率和服务质量。该平台提供强大的指挥调度功能,可以实时监控和管理通信网络设备、维护人员和工作任务等。用户可以通过该平台发送指令、调度人员、分配任务,并即时获取现场反馈和报告。福建科立通信指挥调度平台 get-gis-fence-warning 接口处存在SQL注入漏洞
漏洞复现指挥调度平台pwd_update.php SQL注入漏洞 (CVE-2024-2621)
https://blog.echo234.cn/
03-25 330
福建科立通信调度平台是一种用于通信调度管理平台。它可以用于监控和管理通信设备、网络和资源,实现通信调度和优化。该平台可以提供实时的通信状态监测、故障诊断和处理、资源调度和优化等功能,帮助提高通信网络的可靠性和效率。平台通常包括调度中心、调度终端和通信设备等组成部分,通过集中管理和控制,实现对通信网络的全面管理调度福建科立通信指挥调度平台pwd_update.php 接口处SQL注入漏洞,恶意攻击者可能利用该漏洞获取服务器敏感信息,最后造成服务器失陷。
漏洞复现指挥调度平台down_file.php SQL注入漏洞 (CVE-2024-2620)
https://blog.echo234.cn/
03-25 422
福建科立通信调度平台是一种用于通信调度管理平台。它可以用于监控和管理通信设备、网络和资源,实现通信调度和优化。该平台可以提供实时的通信状态监测、故障诊断和处理、资源调度和优化等功能,帮助提高通信网络的可靠性和效率。平台通常包括调度中心、调度终端和通信设备等组成部分,通过集中管理和控制,实现对通信网络的全面管理调度福建科立通信指挥调度平台down_file.php 接口处SQL注入漏洞,恶意攻击者可能利用该漏洞获取服务器敏感信息,最后造成服务器失陷。
指挥调度平台漏洞合集(一篇就够了)
m0_64366018的博客
01-24 723
【代码】指挥调度平台漏洞合集(一篇就够了)
漏洞复现科立指挥调度管理平台存在命令注入漏洞
qq_67810151的博客
04-03 302
科立指挥调度管理平台存在命令注入漏洞,未经身份认证的攻击者除了可以利用该漏洞进行代码执行,从而控制服务器。
网络安全:守护数字世界的坚固防线
最新发布
fj800j的专栏
11-14 208
首先,加强网络安全法律法规的制定和完善,为网络安全提供有力的法律保障。其次,提高网络安全技术水平,研发更加先进的安全防护产品和解决方案,以应对不断变化的网络威胁。此外,加强网络安全教育和宣传,提高公众的网络安全意识和防范能力,也是至关重要的。因此,加强网络安全防护,构建坚固的数字防线,已成为当务之急。同时,我们也需要加强国际合作,共同应对跨国网络犯罪和网络攻击,维护网络空间的和平与安全。让我们携手共进,共同守护这个数字世界的坚固防线,为构建一个安全、稳定、繁荣的网络空间贡献力量。
网络安全之SQL初步注入
blue_2021010615的博客
11-10 639
{"username":"hahah","password":123456,"time":"6546536435536"}类似于这种就是json串,常见于前后端分离项目,用于不同语言进行调用数据。查询1的时候,会展示username=1的用户数据,可以测试是否有注入点(闭合单引号并构造永真条件。用户输入的数据会被替换到SQL语句中的$name位置。此时应该想到XX型,去闭合括号尝试。利用burpsuilte抓包。闭合引号的同时还需要闭合括号。平台使用pikachu。此处有注入点,为XX型。
【网络安全 | 漏洞挖掘】隐藏的 DOS 技术
等风来
11-11 498
我调查了这些参数的用途,发现它们被传递给了第三方服务,且该服务的文档说明这些参数是安全的。你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。于是我发送了一个包含1000个UUID的列表,结果网站在60秒后超时,并出现了显著的延迟。在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
等保测评怎么做?具体流程是什么?
weixin_59571541的博客
11-14 512
等保是指对信息系统进行等级化保护管理,目的是提高信息系统的安全性,防止信息泄露、篡改、破坏等安全问题。在哈尔滨进行等保测评的具体流程大致是:需求分析与准备、自评、选择测评机构、现场评估、问题整改、编写报告、报告审核与备案、持续改进。2.选择等保等级:根据系统的性质、重要性、涉及的敏感信息等,选择合适的等保等级(从1级到5级)。1.明确测评范围:首先需要确定需要进行等保测评的系统范围,包括硬件、软件、网络架构等。3.准备工作:准备相关的文档资料,包括系统架构图、设备清单、安全管理规程、系统开发/运营情况等。
【网络安全 | 身份授权】一文讲清OAuth
等风来
11-11 130
(第三方应用程序):简称“客户端”(client),指的是需要访问资源的外部应用。(HTTP 服务提供商):简称“服务提供商”,指的是托管用户资源的服务。(资源所有者):简称“用户”,即拥有资源的个体或实体,需要授权客户端访问自己的资源。User Agent(用户代理):指用户用来访问服务的工具,通常指浏览器。(认证服务器):服务提供商专门用于处理认证和授权请求的服务器,负责生成授权凭证和访问令牌。(资源服务器):存放用户资源的服务器,通常和认证服务器同属服务提供商,但可以是不同的服务器。
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
11-14 640
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
科立pt8000-03写频线
01-28
科立pt8000-03写频线是一种用于通信设备中的高性能写频线。该写频线采用先进的技术和材料,具有优良的信号传输性能和抗干扰能力。它适用于各种频率的通信设备,能够稳定传输信号并保持通信质量。 科立pt8000-03...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

.Rain.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值