NetMizer 日志管理未授权访问+FTP登录

最新推荐文章于 2024-08-30 18:45:00 发布
最新推荐文章于 2024-08-30 18:45:00 发布
阅读量307 收藏
点赞数
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 漏洞复现 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/132104639
版权
北京灵州网络的NetMizer日志管理系统存在目录遍历漏洞,允许攻击者获取敏感信息。文章详细描述了漏洞情况、免责声明,并提供了资产确定方法、漏洞复现步骤,包括HTTP请求和FTP登录信息,同时提出了修复建议。
摘要由CSDN通过智能技术生成

漏洞描述

北京灵州网络技术有限公司NetMizer日志管理系统存在目录遍历漏洞,由于 /data 控制不严格,攻击者可利用该漏洞获取敏感信息。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

fofa:title=“NetMizer 日志管理系统”

漏洞复现

1.利用如下POC访问

http://{ {Hostname}}/data/
在这里插入图片描述
2、ftp路径及账号信息
http://{ip}:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
NetMizer 日志管理系统 多处前台RCE漏洞复现
0xSec
02-15 1016
NetMizer 日志管理系统position.php、hostdelay.php、等接口处存在命令执行漏洞经身份验证的攻击者可通过该漏洞在服务器端任意执行命令,写入后门,获取服务器权限,进而控制整个web服务器。
Panalog 日志审计系统 libres_syn_delete.php 前台RCE漏洞复现
0xSec
02-16 1065
​Panalog日志审计系统 libres_syn_delete.php接口处存在远程命令执行漏洞,攻击者可执行任意命令,接管服务器权限。
NetMizer日志docker
xiaopeng_thriller的博客
05-25 279
今安装日志的时候发现给的是CENTOS 7 的日志但是灵州日志不支持,随后通过docker运行centos 6 灵州日志docker docker pull centos:centos6.6 //https://hub.docker.com/_/centos?tab=tags ,拉取docker镜像 docker image run -it -v /bakcdr:/home -p 8080:80 centos:centos6.6 /bin/bash // 将宿主机
NetMizer 日志管理系统前台RCE漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
05-30 877
NetMizer日志管理系统是一个与NetMizer流量管理设备配合使用的外挂系统,通常安装在一台独立的Windows服务器上,NetMizer是提供集成应用交付和应用安全解决方案以实现业务智能网络的全球供应商。它为全球企业和运营商提供确保关键业务应用的全面可用性、高性能和完善的安全性的解决方案。
NetMizer日志管理系统position,2024年最新2024最新腾讯网络安全面试分享
2401_83973995的博客
04-16 336
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
NetMizer日志管理系统position.php命令执行
weixin_43567873的博客
03-08 54
NetMizer日志管理系统position.php命令执行
Tscan20240321一款综合扫描工具方便一键自动化全方位漏扫扫描
04-04
NetMizer日志管理系统hostdelay_php命令执行漏洞 NetMizer日志管理系统position_php命令执行漏洞 Panalog_日志审计系统_sessiptbl.php_前台RCE Panalog_日志审计系统accountsy_addmount.php接口rce
日志管理系统
热门推荐
samson
06-26 3万+
一.为什么需要日志管理系统 保留现场 自知者自明 所有即将发生的,都取决于已经发生的 数据商业化运作 1.1 日志管理系统的解决方案 机器上的日志实时收集,存储到日志中心 给日志建立索引,通过索引能很快找到日志 架设web界面,在web上完成日志的搜索 1.2 日志管理系统的困难 日志量很大,每天几十亿条 日志的实时收集,延迟控制在分钟级别 能够在线水平扩展 1.3 业内解决方...
漏洞复现篇——文件包含漏洞进阶-日志文件漏洞
爱国小白帽
02-19 1833
日志文件漏洞原理 当某个PHP文件存在本地包含漏洞,而却无法上传正常文件,这就意味这有包含漏洞却不能拿来利用,这时攻击者就有可能会利用apache日志文件来入侵。 Apache服务器运行后会生成两个日志文件,这两个文件是access.log(访问日志)和error.log(错误日志),apache的日志文件记录下我们的操作,并且写到访问日志文件access.log之中 例如:http://192...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8434
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
网络安全网络安全中的常见攻击方式:被动攻击、主动攻击与中间人攻击
一定要站在自己热爱的生活里闪闪发光
08-27 427
在信息化时代,网络安全已经成为企业和个人都非常关注的领域。无论是个人隐私还是企业机密,随着互联网的广泛应用,保护这些信息免受攻击变得越来越重要。攻击者通过各种方式试图获取、篡改或破坏信息,这些方式大致可以分为被动攻击、主动攻击和中间人攻击三类。了解这些攻击方式有助于我们更好地保护自己的信息安全
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
最新发布
2401_84466224的博客
08-30 999
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
信息安全--(四)网络安全体系与安全模型(二)
m0_60936698的博客
08-30 693
■ 等级保护分为五个:第一级(用户自主保护级)、第二级(系统审计保护级)、第三级(安全标记保护级)、第四级(结构化保护级)、第五级(访问验证保护级)。■ ①扩大了对象方位,将云计算、移动互联、物联网、工业控制系统等列入标准范围,构成了“网络安全 通用要求+新型应用的网络安全扩展要求”的要求内容。■ 管理手段:包括安全评估、安全监管、应急响应、安全协调、安全标准和规范、保密检查、认证和访 问控制等;管理目标: (大)政治、经济、文化、国防安全等,(小)网络系统的保密、可用、可控等。·监督安全项目的实施;
网络安全】分析重置密码功能实现账户接管
等风来
08-26 220
点击了重新发送电子邮件的按钮后,我在攻击者的邮箱得到了受害者的重置密码链接,从而实现了账户接管。
网络安全】XML-RPC漏洞之盲SSRF
等风来
08-27 348
我收到的响应是这样的,响应体中的状态为0,表示请求已成功发送:
网络安全】分析cookie实现PII IDOR
等风来
08-27 100
目标:公共电子商务类型的网站,每月有大约6万到10万访问者,注册用户大约有5万。
网络安全(黑客)自学
白帽子凯哥聊黑客
08-30 760
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
NetMizer系列:深度解析与智能带宽管理技术白皮书
网优先锋(NetMizer)系列产品技术白皮书是由北京灵州网络技术有限公司发布,针对中国网络安全和网络管理领域的需求,提出了一套创新型的解决方案。该系列产品的核心在于深度内容分析、深层速率控制和智能会话管理等...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值