文章总结： 本文披露某厂商安全设备前台RCE漏洞审计过程，通过发现Restful接口权限绕过漏洞可调用任意Service方法，结合命令注入和文件上传功能实现远程代码执行，最终可接管流量探针、IPS等安全设备。作者采用上传Webshell打入内存马的方式实现优雅利用，并演示通过添加管理员账户接管设备后台的全过程。 综合评分： 85 文章分类： 渗透测试,漏洞分析,WEB安全,红队,内网渗透

某厂商安全设备前台RCE

原创

ptr ptr

UpRoot

2026年5月17日 01:20 北京

在小说阅读器读本章

去阅读

起

给自己定了个小目标，挑了一款安全产品来审计前台RCE，该安全产品通常部署在关键的网络节点并且处于支配地位，因此本文所产出的两个漏洞，理论上可以接管大部分的流量探针、入侵防御IPS等安全设备。

本文仅作技术分享，漏洞均已被安全厂商修复，因该产品较多映射出公网，故不会产出poc，并且厚码。

承

原生的shell仅能执行指定的命令，需要突破shell限制，转到bash修改root密码。为下文分离源码做准备。

开启SSH，准备窥探系统全貌。

设备出厂前指定了IP需要更改下。

vi /etc/sysconfig/network-scripts/ifcfg-eth0

初步信息收集以及分离源码。

存在activemq并且是漏洞版本，第一时间想到的是借助任意读来R，后面发现8161端口做了限制，外部不可以连接，于是就放弃了。

nat表将80重定向到8080、443重定向到8443，原来起在这两个端口上面的服务，可通过80、443来访问了，这是为了隐藏实际端口。

尝试curl路径，发现服务存在问题，我又修了服务一段时间，最终定位到是数据库连接的时候进行了ssl，当前服务器不适配，直接改配置文件中的jdbc连接信息为userSSL=false即可。

因我们在服务器上，可以让服务器开放5005端口，然后接入IDEA进行动调，提高效率。

iptables -I INPUT -p tcp -s 192.168.41.101 --dport 5005 -j ACCEPT

-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005

前期准备工作就做完了，下面进入代码审计。

因厂商针对权限校验做的比较死，看了一段时间代码觉得没有可前台R的点了，后面发起一处Restful调用接口未被写入权限拦截器，可以调用任意注册的Serveice服务的public方法，这有了极大的操作空间。

很快就能定位到一处命令拼接，并且外部可控。

仅仅命令命令注入倒是可以R，但是R的不优雅，好在系统有处限制路径任意文件上传，这就可以优雅的R并打入内存马了。

当然，不借助这个文件上传，也是有别的优雅的R法打内存马的，这里就不写了（组件反序列化）。

写到这，大家应该都想到了我的R法：实战中追求严格的不出网的条件下，可以通过先上传一个落地打内存马的txt，然后cp到前台web路径下并重定义后缀为jsp。

那该怎么致盲蓝队或者接管大部分流量设备、IPS呢？那你一定会想到，既然你都可以调用任意Service方法了，那大概率就也可以添加用户和修改密码。

战略上有了思路定下了路线，那战术上就交给AI来做就好了，减少工作量，把你的思路输出给它，它就不会致幻，它就可以指哪打哪。

于是就可以以管理员身份进入后台接管安全设备了。

（AI稍微操作下50刀的额度就跑没了…）

合

再加把劲，也许以后的选择就会多一些。

• END –

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：UpRoot ptr ptr《某厂商安全设备前台RCE》