卫健委行业hw审计维保保0day

admin 2024年5月23日20:21:07评论191 views字数 225阅读0分45秒阅读模式

fofa:app="维保保-产品"

卫健委行业hw审计维保保0day

都是全国各大医院在用审计出漏洞来了卫健委行业护网就会非轻松。

第一步定位到添加到白名单的接口(就是不需要登录就能访问的接口)

卫健委行业hw审计维保保0day

如下图所示我们通过白名单(未授权访问的接口)接口定位到了一处具备任意用户添加的接口并且添加的账号密码用户可控。后台还存在rce这里就不放出来了。添加用户的exp也不放出来了。审计思路是:通过未授权白名单接口一步步深入。

卫健委行业hw审计维保保0day

卫健委行业hw审计维保保0day

原文始发于微信公众号(代码审计Study):卫健委行业hw审计维保保0day

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月23日20:21:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   卫健委行业hw审计维保保0dayhttps://cn-sec.com/archives/2770888.html

发表评论

匿名网友 填写信息