MaxDB cons.exe远程命令注入漏洞的实际操作流程描述

以下的文章主要向大家描述的是MaxDB cons.exe远程命令注入漏洞，以及对受影响系统，描述，测试方法的内容的描述，以下就是文章的主要内容的详细描述，望大家在浏览之后会对其有更深的了解。

创新互联-专业网站定制、快速模板网站建设、高性价比南澳网站开发、企业建站全套包干低至880元,成熟完善的模板库,直接使用。一站式南澳网站制作公司更省心,省钱,快速模板网站建设找我们，业务覆盖南澳地区。费用合理售后完善，10多年实体公司更值得信赖。

受影响系统：

SAP MaxDB <= 7.6.03 build 007

描述：

BUGTRAQ ID: 27206

MaxDB是SAP应用中广泛使用的数据库管理系统。

MaxDB在处理用户请求数据时存在输入验证漏洞，远程攻击者可能利用此漏洞在服务器上执行任意命令。

如果未经认证的远程攻击者执行了show或exec_sdbinfo等特殊命令的话，MaxDB服务器就会通过system()执行cons.exe DATABASE COMMAND，而使用system()执行cons程序允许外部攻击者通过传送&&或其他方式在服务器上执行任意命令。例如，可使用以下SAP命令查看Windows上C盘的内容：

exec_sdbinfo && echo dir c:\ | cmd.exe

<*来源：Luigi Auriemma (aluigi@pivx.com)

链接：http://marc.info/?l=bugtraq&m=119990691623060&w=2

http://secunia.com/advisories/28409/

*>

测试方法：

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负!

http://www.milw0rm.com/sploits/2008-sapone.zip

建议：

厂商补丁：

SAP

---

建议使用此软件的用户关注厂商的主页以获取最新版本：

http://www.sap.com/

以上的相关内容就是对MaxDB cons.exe远程命令注入漏洞的介绍，望你能有所收获。

【编辑推荐】

1. IPTV会否是分众购对象
2. 我国IPTV研究目全球领先
3. 3G与IPTV是发展大方向
4. 我国IPTV研究目全球领先
5. 3G与IPTV是发展大方向

文章题目：MaxDB cons.exe远程命令注入漏洞的实际操作流程描述
文章网址：http://www.mswzjz.cn/qtweb/news13/61263.html

攀枝花网站建设、攀枝花网站运维推广公司-贝锐智能，是专注品牌与效果的网络营销公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 贝锐智能