某防火墙命令执行漏洞

儒道易行 儒道易行 2024-08-17 20:00

四千年来时时吃人的地方，今天才明白，我也在其中混了多年。有了四千年吃人履历的我，当初虽然不知道，现在明白，难见真的人！没有吃过人的孩子，或者还有？救救孩子……

漏洞描述

某防火墙维护工具存在命令执行，由于没有过滤危险字符，导致可以执行任意命令

漏洞复现

使用默认的账号密码登录

User: admin Pass: hicomadmin

登录成功后依次点击系统管理、维护工具、Ping

构造payload：

成功执行命令

文笔生疏，措辞浅薄，望各位大佬不吝赐教，万分感谢。

免责声明：由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失，均由使用者本人负责， 文章作者不为此承担任何责任。

转载声明：儒道易行 拥有对此文章的修改和解释权，如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经作者允许，不得任意修改或者增减此文章的内容，不得以任何方式将其用于商业目的。