免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞描述
深圳市强鸿电子有限公司鸿运主动安全监控云平台存在任意文件下载漏洞,攻击者可通过此漏洞下载敏感文件信息,获取数据库账号密码,从而为下一步攻击做准备。
二、网络空间搜索引擎查询
fofa查询
body="./open/webApi.html"三、漏洞复现
例:读取数据库配置文件
四、批量检测与利用
单个检测
python .ReadFile.py -u http://ip:port
批量检测
python .ReadFile.py -f filename
微信公众号关注 网络安全透视镜 回复 20231012 获取批量检测与利用脚本
免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
原文始发于微信公众号(网络安全透视镜):【0 day】鸿运主动安全监控云平台存在任意文件下载漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论