0x01阅读须知
技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
0x02漏洞概述
瑞斯康达多业务智能网关是一款集多种功能于一体的网络设备,专为中小企业及行业分支机构设计,以满足其多业务接入和带宽提速的需求,如MSG2100E系列、MSG2300系列等,是瑞斯康达科技发展股份有限公司推出的新一代网络产品。这些网关集成了数据、语音、安全、无线等多种功能,能够为用户提供综合、完整的网络接入解决方案。它们广泛应用于政企单位、商务楼宇、校园、工业园区等场景,为用户带来高效、便捷的网络体验。
0x03漏洞描述
Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
Fofa
body="/images/raisecom/back.gif" && title=="Web user login"0x04 POC利用(POC在内部星球,点击下方地址加入星球获取POC)
