漏洞简介

CNVD-2021-32085

Sapido是专门设计开发智慧全无线保全系统及硬件设备，同时拥有APP的研发能力，跨足智慧家庭SMART HOME TOTAL SOLUTION及智能制造& ERP等全方位企业整合方案，提供无线分享器网通产品、智慧插座、监控保全等产品。

Sapido路由器存在命令执行漏洞，攻击者可利用该漏洞执行任意命令。

01.png

企业官网

https://www.sapido.com.tw/

guan.png

漏洞复现

fofa：app="Sapido-路由器"

尝试访问如下两个页面

/syscmd.htm
/syscmd.asp

ci.png

存在命令注入漏洞，但是由于是嵌入式设备，一些linux命令是由busybox提供的，并不是所有的命令都可以执行

D-link路由器OSVDB(89861)漏洞
简述 D-Link 生产的DIR-600和DIR-300系列路由器的rev B固件存在系统命令注入漏洞。该漏洞编号...
Vue 中 this.$router 与 this.$route
官方文档说明：通过注入路由器，我们可以在任何组件内通过 this.$router 访问路由器，也可以通过 thi...
Vue 中 this.$router 与 this.$route
官方文档里是这样说明的：通过注入路由器，我们可以在任何组件内通过 this.$router 访问路由器，也可以通...
🔎 看图说话：命令行注入（Command Injection）漏
1、命令注入攻击最初被关注到，是Shell命令注入攻击，由挪威一名程序员在1997年意外发现的，第一个命令注入攻击...
EIGRP Stub区域
一、概念通过命令把远程路由器配置成Stub路由器，Stub路由器会向所有邻居发送信息告之自已的状态，其他路由器将...
Cisco路由器操作命令汇总，看完全学会
Cisco路由器的6种模式普通模式router>路由器处于用户命令状态，这时用户可以看路由器的连接状态，访问其它...
谈谈sql注入之原理和防护（－）
谈谈sql注入（二）谈谈sql注入（三）谈谈sql注入（四）所谓SQL注入，就是通过把SQL命令插入到Web表单提...
2路由器基本配置命令
路由器基本配置命令基本命令： Enable 进入特权模式 Configure terminal进入全局配置模式 ...
PHP网站的主要攻击方式有哪些？
1. 命令注入(Command Injection) 2. eval注入(Eval Injection) 3. 客...
【收藏】华为路由器交换机配置命令大全
华为路由器交换机配置命令：计算机命令 PCAlogin:root;使用root用户 password:linux;...