深信服应用交付报表系统任意文件读取漏洞复现

已于 2023-09-07 11:46:55 修改
阅读量867 收藏
点赞数
分类专栏: 漏洞复现2 漏洞复现 文章标签: 安全 系统安全 网络安全 web安全
于 2023-09-07 11:30:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_48539059/article/details/132718823
版权
本文介绍了深信服应用交付报表系统存在的任意文件读取漏洞,详细阐述了漏洞描述、影响范围及复现过程。通过访问特定环境并构造POC,攻击者能够读取设备中的文件。目前,厂商尚未提供修复方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

深信服应用交付报表系统任意文件读取漏洞复现

0x01 前言

本次测试仅供学习使用,如若非法他用,与本文作者无关,需自行负责!!!

0x02 漏洞描述

SINFOR AD是深信服最新推出的应用交付系列设备,其突出特色就是SINFOR AD的智能分析功能。深信服应用交付报表系统存在任意文件读取漏洞,攻击者利用漏洞可读取设备中的指定路径文件。

0x03 影响范围

深信服应用交付报表系统

0x04 漏洞环境

fofa:app=“SANGFOR-应用交付报表系统”
在这里插入图片描述

0x05 漏洞复现

1.访问漏洞环境

了解本专栏 订阅专栏 解锁全文 超级会员免费看
深信服应用交付报表系统存在任意文件读取漏洞
nnn2188185的博客
06-15 1269
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发深信服应用交付报表系统
2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)
08-21 4541
2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总,截止目前已更新到91个漏洞,本文会实时更新,有新的漏洞都会加上
深信服应用交付报表系统 命令执行漏洞复现
09-28 2377
深信服应用交付报表系统深信服最新推出的应用交付系列设备,其突出特色就是SINFOR AD的智能分析功能。该系统能够为用户提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。不仅实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则,将用户的访问请求分配给相应的数据中心、链路以及服务。
深信服 应用交付报表系统 download.php 任意文件读取漏洞
weixin_46801402的博客
11-04 1378
深信服 应用交付报表系统 download.php 任意文件读取漏洞
深信服应用交付报表任意文件读取漏洞
剁椒鱼头没剁椒的博客
02-10 2245
深信服应用交付报表系统 download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件
深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞
weixin_46801402的博客
11-04 3178
深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞
深信服应用交付管理系统远程命令执行漏洞复现
薛定谔嘚喵博客
09-07 1547
深信服应用交付管理系统login存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
深信服 应用交付管理系统 login 存在远程命令执行漏洞
m0_52333295的博客
08-20 1454
深信服 应用交付管理系统 login 存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
深信服应用交付管理系统 login 远程命令执行漏洞(含批量验证poc)
最新发布
weixin_43567873的博客
04-15 902
深信服应用交付管理系统 login 远程命令执行漏洞(含批量验证poc)
深信服应用交付AD用户手册_V7.0.8R3-20201223.pdf
03-18
深信服应用交付AD用户手册_V7.0.8R3-20201223.pdf
深信服应用交付网络技术应用与实践
11-08
深信服应用交付网络技术应用与实践
深信服应用交付 AD 存在远程命令执行漏洞 附POC
nnn2188185的博客
09-28 794
深信服应用交付管理系统login存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令
深信服EDR终端检测响应平台RCE漏洞复现
m0_37777713的博客
08-18 4479
深信服EDR终端检测响应平台RCE漏洞复现 背景介绍 早在2019年11月份的时候,就有人爆出有人手里屯着深信服某产品的0day。由于是0day,当然没有人见过,也就不了了之。就在昨天,HW正式开始的第一天,有个铁憨憨在某军500人的群聊中放出了深信服EDR的复现过程截图,然后这张图就瞬间在安全圈子内传遍了。 复现过程 我们在fofa,Zoomeye等一些引擎上搜索关键字就可以找到一大堆对公网开放的EDR。以fofa为例,搜索title="终端检测响应平台" 接着,随便点开一个进行测试,找到登录界面,确
深信服AD应用交付管理维护
✍千里之行,始于足下 ^,^
07-05 3698
深信服AD应用交付管理维护1.监视器1.1 节点监视器(1) ping,ping6节点监视器(2)http,https节点监视器(3)FTP节点监视器(4)DNS节点监视器(5)Radius节点监视器1.2 链路监视器2.常用功能2.1 路由配置(1)静态路由(2)动态路由2.2 NAT配置2.3 网络安全2.4 配置备份与恢复2.5 设备升级(1)AD应用交付控制台页面升级(2) AD应用交付升...
漏洞复现 || SXF应用交付系统RCE(0Day)
失心少年
08-24 605
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!SXF应用交付管理系统login存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。1.利用如下POC发起POST请求。
sangfor EDR漏洞(CNVD-2020-46552)复现
bigblue00的博客
09-06 4501
声名:本项目仅用于测试工作和学习交流使用。 请使用者遵守当地相关法律,勿用于非授权测试,如作他用所承受的法律责任一概与本人无关!!! 深信服EDR远程命令执行漏洞影响版本:v3.2.16,3.2.17,3.2.19 本次测试环境搭建:EDR 3.2.19 ,kali(kali和EDR 3.2.19同在一个网段) 登录EDR账号:root 密码:edr@sangfor 查看ip 复现过程 1、任意用户登录 payload: https://ip地址/ui/login.php?user=任意用户名 例:ht
深信服EDR任意用户登录与命令执行漏洞
剁椒鱼头没剁椒的博客
01-18 5117
终端检测响应平台(EDR)是深信服公司提供的一套终端安全解决方案,方案由轻量级的端点安全软件(Agent)和管理平台(MGR)共同组成。EDR的管理平台支持统一的终端资产管理、终端病毒查杀、终端合规检查,支持微隔离的访问控制策略统一管理,支持对安全事件的一键隔离处置,以及热点事件IOC的全网威胁定位。端点软件支持防病毒功能、入侵防御功能、防火墙隔离功能、数据信息采集上报、一键处置等。
2023HW-8月(10-15)53个0day,1day漏洞汇总含POC、EXP
tangshuangsss的专栏
08-16 5428
点击"仙网攻城狮”关注我们哦~不当想研发的渗透人不是好运维让我们每天进步一点点简介2023HW-8月10-15号0day、1day漏洞汇总(已更新),包含以下漏洞需要自取。链接:https://pan.baidu.com/s/1Tr94yVFSHn_C6YiJcVprAw 提取码:6666通达OAsql注入漏洞 CVE-2023-4165 POC.. 2 通达OAsql注入漏洞 CVE-2023...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值