从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 产品:COMFAST CF-XR11 V2.7.2 - 漏洞类型:命令注入(Command Injection) - 受影响的参数: - 攻击方式:通过发送POST请求到 ,并注入恶意命令到 参数,通过 执行任意命令。 2. 产品参数: - 产品型号:COMFAST CF-XR11 V2.7.2 - 产品类型:1800Mbps智能MESH路由器 - 测试版本:V2.7.2 3. 漏洞细节: - 漏洞位置: - 函数: - 函数调用: - 数据流:通过 替换 参数的前两个字符。 4. POC(Proof of Concept): - 攻击步骤: 1. 使用 关闭之前的单引号,并使用 使后续字符串成为注释。 2. 使用 发送POST请求。 3. 使用 作为payload。 - URL: - 请求方法:POST - 请求体: 5. 攻击演示: - 结果:发送POC后,恶意命令将被执行,并在 中获取命令结果。 - 命令执行:现在可以获取任意命令执行的结果。 这些信息详细描述了COMFAST CF-XR11 V2.7.2路由器的命令注入漏洞,包括漏洞的触发条件、攻击方式和POC实现。