飞鱼星 企业级智能上网行为管理系统 权限绕过信息泄露漏洞

已于 2023-06-27 17:34:28 修改
阅读量1.1k 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 安全 网络安全 web安全 渗透 漏洞复现
于 2023-06-27 17:31:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/131421875
版权
本文详细介绍了飞鱼星企业级智能上网行为管理系统的一个重大安全问题,该系统存在权限绕过及信息泄露漏洞。攻击者能够通过特定方式获取管理员权限,并能捕获到用户密码。漏洞复现过程包括对主页请求的Burp抓包和cookie.cgi的利用。成功越权后,后台敏感信息暴露,增加了网络安全风险。
摘要由CSDN通过智能技术生成

一:漏洞描述

飞鱼星 企业级智能上网行为管理系统 存在权限绕过以及信息泄露漏洞,可以获取管理员权限以及用户密码

二: 漏洞影响

飞鱼星 企业级智能上网行为管理系统

三: 漏洞复现

title=“飞鱼星企业级智能上网行为管理系统”
访问主页使用Burp抓包
在这里插入图片描述

http://xxx.xxx.xxx.xxx/home/index.html

其中使用Burp Durp 掉 cookie.cgi 请求包
在这里插入图片描述
在这里插入图片描述

四:成功越权后台,其中还存在敏感信息泄露


                

                
                
        

        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
                
                    
                    超级会员免费看
                
            

            
            
            
        

    

      

        

            

              
                
                  丢了少年失了心1
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          

                

                        订阅专栏
                









                



	

		

			

				
					
漏洞复现飞鱼路由器COOKIE.CGI权限绕过漏洞

				
			

			

				

					晚风不及你
				

				

					02-06
					
					763
					
				

			

		

		

			
				
成都飞鱼科技股份有限公司是服务于企业、商业和家庭用户,提供智能易用的网络通讯管理设备与创新科技的增值服务。

			
		

	



                

              
                



	

		

			

				
					
飞鱼企业级智能上网行为管理系统 越权漏洞

				
			

			

				

					m0_49025459的博客
				

				

					01-31
					
					953
					
				

			

		

		

			
				
飞鱼企业级智能无线上网行为管理系统以及众多产品存在权限绕过漏洞
漏洞分类:逻辑漏洞
影响版本:全版本

			
		

	



                


  
              

                


	

		

			

				
					
漏洞复现飞鱼企业级智能上网行为管理系统​ send_order.cgi 前台RCE漏洞

				
			

			

				

					qq_34780861的博客
				

				

					03-21
					
					635
					
				

			

		

		

			
				
飞鱼上网行为管理系统企业版前台RCE,攻击者可通过此漏洞获取服务器权限

			
		

	





	

		

			

				
					
渗透实战系列】飞鱼家庭路由器越权发现的木马传播事件

				
			

			

				

					书山上的云的博客
				

				

					06-15
					
					1293
					
				

			

		

		

			
				
事情是这样,最近这段时间收到一次应急,据说是路由器中毒了访问了挖矿域名,后面看了一下后还是因为NAT原因导致的。不过因为这起事件勾起了我对家庭路由器漏洞利用兴趣,于是就有了这篇文章的诞生。

			
		

	



		

			
		



	

		

			

				
					
飞鱼路由器 越权漏洞漏洞复现

				
			

			

				

					m0_64366018的博客
				

				

					01-26
					
					1071
					
				

			

		

		

			
				
丢掉包后,就可以越权。

			
		

	





	

		

			

				
					
复现飞鱼上网行为管理系统RCE漏洞_67

					
最新发布

				
			

			

				

					fushuang333的博客
				

				

					04-03
					
					842
					
				

			

		

		

			
				
复现飞鱼上网行为管理系统RCE漏洞,通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。继承Web服务器程序的权限,去执行系统命令,控制整个服务器。

			
		

	





	

		

			

				
					
飞鱼企业级智能上网行为管理系统​ send_order.cgi 前台RCE漏洞复现

				
			

			

				

					0xSec
				

				

					03-20
					
					1034
					
				

			

		

		

			
				
飞鱼企业级智能上网行为管理系统send_order.cgi接口处存在远程命令执行漏洞,未经身份验证的攻击者可以利用此漏洞执行任意指令,且写入后门文件可获取服务器权限,造成严重威胁。

			
		

	





	

		

			

				
					
飞鱼企业级智能上网行为管理系统​ send_order.cgi 前台RCE漏洞

				
			

			

				

					weixin_43567873的博客
				

				

					03-22
					
					223
					
				

			

		

		

			
				
飞鱼企业级智能上网行为管理系统​ send_order.cgi 前台RCE漏洞

			
		

	





	

		

			

				
					
飞鱼上网行为管理路由器功能介绍整理.pdf

				
			

			

				

					11-15
				

			

		

		

			
				
飞鱼上网行为管理路由器功能介绍整理.pdf

			
		

	





	

		

			

				
					
飞鱼企业级智能上网行为管理系统 send_order.cgi接口远程命令执行

				
			

			

				

					qq_39894062的博客
				

				

					03-25
					
					240
					
				

			

		

		

			
				
飞鱼企业级智能上网行为管理系统 send_order.cgi接口远程命令执行

			
		

	





	

		

			

				
					
浅谈公司上网行为管理原理及绕过

				
			

			

				

					m0_68868181的博客
				

				

					12-26
					
					4079
					
				

			

		

		

			
				
本文主要讲解通信协议底层原理,以及各种隧道的底层实现

			
		

	





	

		

			

				
					
飞鱼上网行为管理系统企业版前台RCE

				
			

			

				

					qq_36334672的博客
				

				

					03-29
					
					243
					
				

			

		

		

			
				
飞鱼企业级智能上网行为管理系统send_order.cgi接口处存在远程命令执行漏洞,未经身份验证的攻击者可以利用此漏洞执行任意指令,且写入后门文件可获取服务器权限,造成严重威胁。

			
		

	





	

		

			

				
					
飞鱼 VW1900 路由器怎么样 问题太多 bug集锦

				
			

			

				

					生于忧患,死于安乐
				

				

					04-11
					
					4309
					
				

			

		

		

			
				

  引用块内容 
  其实不想吐槽,问题是这玩意买回来firmware问题太多了,而且快一年之久不给升级固件,作为懂技术的用户,实在无力吐槽。他们的测试人员是吃翔的吗?


pppoe拨号有时候拨不上


很多时候,显示已经拨号成功了,网关,DNS获取都正常,就是无法上网,点击断”断开链接”,然后再点重连,此时怎么点都不反应。




网络状态外网显示错误


重现步骤,恢复出厂设置,刷最新的固...

			
		

	





	

		

			

				
					
【逆向学习记录】漏洞利用案例(磊科路由漏洞

				
			

			

				

					卦星的专栏
				

				

					10-30
					
					3666
					
				

			

		

		

			
				
磊科路由漏洞实例

1,背景

    距离上次培训已经差不多两个月了,工作太慢,整个十月久没有休过,今天总算有点时间把之前的总结一下,

2,磊科漏洞利用

   参考链接:http://blog.knownsec.com/2015/01/a-brief-analysis-of-netcore-netis-leak-emergency/

...

			
		

	





	

		

			

				
					
linux 系统命令被后门修改_红队实战攻防技术分享:Linux后门总结SSH利用篇

				
			

			

				

					weixin_39917090的博客
				

				

					11-21
					
					703
					
				

			

		

		

			
				
导读:常见红队评估中,也能遇到很多Linux服务器,如何使Linux在安全人员/运维人员的检查过程中能够稳定的持续的用做跳板,本系列文章将对常见的Linux后门技术作以总结归纳,将相关技术展现给大家。本篇文章是Linux后门总结文章第一篇,简单介绍了一些常见的shell反弹用法,还有针对不同系统/架构的反弹用法,后门要达到的目的一般都是用作权限维持,这里只介绍几种后面文章中会利用到的sh...

			
		

	





	

		

			

				
					
屡禁不止的飞单现象,原因竟是公司的管理漏洞

				
			

			

				

					gongzuoshouji的博客
				

				

					03-20
					
					1013
					
				

			

		

		

			
				
在每一个领域,每一个行业,都有一个非常让管理者头疼的事情,这就是员工飞单现象。对于有从事过销售行业或者服务行业的从业者而言,飞单是再熟悉不过的一个词了,但是对于普遍人来讲,对于“飞单”这个词还是很陌生。

飞单,通俗的讲,就是一个业务员拿到公司的一个订单后,把该订单放到别的公司生产或者拿货,不通过自己所在的公司交易,以谋取自己个人的私利的现象。比如一家银行的工作人员,利用投资者对银行的信任,销售不...

			
		

	





	

		

			

				
					
飞鱼路由器如何限制外网访问服务器网站,飞鱼路由器怎么访问指定网站

				
			

			

				

					weixin_42347925的博客
				

				

					08-05
					
					1424
					
				

			

		

		

			
				
飞鱼通过创新技术不断提升网络使用质量,与用户合作创建智能、高效、人性化的网络管理平台,那么你知道飞鱼路由器怎么访问指定网站吗?下面是学习啦小编整理的一些关于飞鱼路由器访问指定网站的相关资料,供你参考。飞鱼路由器访问指定网站的设置方法一通过防火墙一键添加功能与上网行为管理设置进行管理1、首先选择防火墙设置,一键添加功能,建立新规则,优先级选择为1,只允许内网访问网页。源地址组保持任意是针对全...

			
		

	





	

		

			

				
					
飞鱼VE系列上网行为管理路由器操作全攻略

				
			

			

				

					
				

			

		

		

			
				
上网行为管理章节是飞鱼路由器的一大特色,用户可以通过设置IP地址组和时间策略来限制特定设备的上网行为,实现对网络流量的有效控制和管理,保障企业或家庭网络环境的高效和安全飞鱼路由器使用手册是一部...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
丢了少年失了心1

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值