CVE-2023-4120:百卓智能Smart多业务安全网关智能管理平台SQL注入漏洞复现

最新推荐文章于 2024-07-13 13:38:38 发布
最新推荐文章于 2024-07-13 13:38:38 发布
阅读量480 收藏
点赞数 3
分类专栏: 漏洞复现 文章标签: 安全 sql 数据库 网络 web安全 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/133672689
版权

文章目录

百卓智能Smart多业务安全网关智能管理平台SQL注入CVE-2023-4120 复现

0x01 前言

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!

0x02 漏洞描述

百卓Smart是一种系列品牌上网行为管理设备,多种应用功能集于一身,包括网络应用封堵、流量控制、链路负载均衡、网页分类阻断、上网内容审计、防火墙、VPN等,可帮助企业有效减少网络建设成本、规范员工上网行为、提升网络带宽利用率、避免企业信息泄露、增强网络稳定性和安全性。

北京百卓智能Smart管理平台S40~S85F发现漏洞,漏洞编号CVE-2023-4120,级别为严重。此漏洞特征于管理组件文件 importhtml.php 的功能处理逻辑,对参数 sql 的传参处过滤不严,导致任意SQL语句的执行,造成任意恶意文件的写入,该漏洞已向公众披露并可能被使用。

0x03 影响平台

百卓智能Smart管理平台

0x04 漏洞环境

FOFA语法: app=“byzoro-Smart”

鹰图语法: web.title&#

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
POC_百卓网络Smart业务安全网关
LiBai'S BLOG
01-13 2237
百卓网络Smart业务安全网关 HTTP admin admin Administrator 指纹 "<title>Smart--管理平台</title>" POC name: poc-yaml-smart-admin-default-password level: 2 finger: | "smart-admin" in finger.name rules: - method: POST path: /login.php body: | .
百卓网络Smart S210网关智能管理平台uploadfile.php接口任意文件上传
weixin_43567873的博客
03-08 54
百卓网络Smart S210网关智能管理平台uploadfile.php接口任意文件上传
[复现]百卓智能Smart__sql注入_CVE-2023-4120漏洞复现
m0_64366018的博客
01-16 490
访问ip/app/haha123.php。Smart--管理平台
漏洞复现百卓Smart S45F网关智能管理平台/sysmanage/licence.php文件上传漏洞
rm -rf *
10-16 404
北京百卓网络科技有限公司(以下简称百卓网络)是一家致力于打造下一代安全互联网的高新技术企业。Byzro Networks Smart S45F多业务安全网关智能管理平台存在文件上传漏洞。攻击者可以利用漏洞获取服务器权限或对系统造成业务影响。
百卓Smart管理平台 uploadfile.php 文件上传漏洞复现(CVE-2024-0939)
0xSec
02-07 1012
百卓Smart管理平台 uploadfile.php 接口存在任意文件上传漏洞。未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,执行任意指令,从而获得服务器权限并操纵服务器文件。
百卓Smart管理平台 importexport.php SQL注入漏洞复现(CVE-2024-27718)
0xSec
03-31 406
百卓Smart管理平台 importexport.php接口处存在SQL注入漏洞,攻击者除了可以利用SQL注入漏洞获取数据库中的信息(例如,管理员后台密码、站点的用户个人信息)之外,甚至在高权限的情况可向服务器中写入木马,进一步获取服务器系统权限。
百绰s200管理平台SQL注入CVE-2024-27718)
weixin_43567873的博客
03-27 129
百绰s200管理平台SQL注入CVE-2024-27718)
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 612
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1092
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
TSINGSEE青犀视频官方技术博客
07-12 583
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
中小学校园EasyCVR视频综合监管方案:构建安全智能的校园环境
TSINGSEE青犀视频官方技术博客
07-10 1101
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全
智能车存在网络安全隐患,如何应设计出更好的安全防护技术?
最新发布
tigerman20201的博客
07-13 167
然而,高度的网络化和智能化也使智能车面临着严峻的网络安全挑战,如远程攻击、数据泄露和恶意控制等。未来,随着技术的不断发展,应持续加强对智能网络安全的研究和创新,以应对不断变化的安全威胁。摘要:随着智能车技术的迅速发展,车辆的网络连接性不断增强,然而这也带来了诸多网络安全隐患。本文深入探讨了智能车面临的网络安全威胁,并提出了一系列创新的安全防护技术设计,旨在为智能车的安全运行提供更可靠的保障。黑客可以通过公共网络智能车的通信系统进行攻击,干扰车辆的正常运行,甚至获取车辆的控制权。
[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约
rolt的专栏
07-10 796
系统的外部可观察行为和物理特征
CVE-2020-14882​&14883:Weblogic RCE复现1
08-03
声明:请勿用作违法用途,否则后果自负0x01 简介用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。0x02 漏洞概述编

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值