从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 标题:Intelbras InControl 2.21.57 (last version) Command Injection - 描述:发现了一个Python代码注入漏洞,该漏洞存在于InControl产品的最新版本中,通过默认的admin/admin凭证访问。 2. PoC(Proof of Concept): - 步骤: 1. 下载应用并将其本地上传。 2. 使用默认的admin/admin凭证登录。 3. 访问“Reports”或“Relatórios”。 4. 检查一个框并点击“Export report”并选择“PDF”。 5. 在burp中可以看到类似这样的API调用: 6. 在“fields=”参数中发生Python代码注入。 7. 将请求发送到重复器,并插入包含Python代码的payload: 8. 注意响应需要20秒才能到来。 9. 通过这种方式,可以执行命令。观看视频以更好地理解(请勿分享视频!) 3. 视频链接:https://youtu.be/UdZVktPUy8A 4. 请求示例: 这些信息详细描述了漏洞的利用过程和PoC的实现方式,可以帮助其他安全研究人员了解和验证这个漏洞。