文章目录
百卓智能Smart多业务安全网关智能管理平台SQL注入CVE-2023-4120 复现
0x01 前言
免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!
0x02 漏洞描述
百卓Smart是一种系列品牌上网行为管理设备,多种应用功能集于一身,包括网络应用封堵、流量控制、链路负载均衡、网页分类阻断、上网内容审计、防火墙、VPN等,可帮助企业有效减少网络建设成本、规范员工上网行为、提升网络带宽利用率、避免企业信息泄露、增强网络稳定性和安全性。
北京百卓智能Smart管理平台S40~S85F发现漏洞,漏洞编号CVE-2023-4120,级别为严重。此漏洞特征于管理组件文件 importhtml.php 的功能处理逻辑,对参数 sql 的传参处过滤不严,导致任意SQL语句的执行,造成任意恶意文件的写入,该漏洞已向公众披露并可能被使用。
0x03 影响平台
百卓智能Smart管理平台
0x04 漏洞环境
FOFA语法: app=“byzoro-Smart”
鹰图语法: web.title&#