某系统多款产品存在命令执行漏洞

原创 儒道易行 儒道易行 2024-08-30 18:00

我不是没有尝试过，尝试安分守己，拼命干活，挣那么一点点钱，我试过，但是外面那些人，外面那些人，他们懂建筑懂盖楼吗？他们只是拿出一点点钱出来，花一点点时间，把房价炒高不断的赚大钱。你去问问他们，随便问一个人，他们的答案很简单：只是想要一间很普通很普通的房子，为什么他们要用一辈子的时间去供一间房子呢？因为那些有钱人在耍他们，越有钱越玩得起，这个世界公平吗？

漏洞描述

某系统多款产品存在命令执行漏洞，攻击者通过账号密码登录后台后，通过命令拼接造成命令注入

漏洞实战

默认账号密码为 admin/admin or admin123

漏洞存在于 命令控制台中，其中存在命令注入，系统中默认有 vi， 可以使用 !/bin/sh 得到交互式命令写入恶意文件

构造payload：

漏洞证明：

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：儒道易行 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。