某视讯平台存在未授权任意文件读取漏洞
某视讯平台存在未授权任意文件读取漏洞
原创 儒道易行 儒道易行 2024-09-07 20:00
世界本就不公平,所以我们想要通过努力,在我们的职责范围内,让世界公平那么一点点。
漏洞描述
某视讯平台存在未授权任意文件读取漏洞,可通过POST函数进行任意文件读取
漏洞复现
无需登录、可未授权读取服务器所有文件
通过访问漏洞url:
再通过载体“fullPath=”即可进行任意文件读取
hackbar通过POST方式构造payload:
漏洞利用:
漏洞证明:
漏洞利用poc:
漏洞证明:
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
免责声明:由于传播或利用此文所提供的信息、技术或方法而造成的任何直接或间接的后果及损失,均由使用者本人负责, 文章作者不为此承担任何责任。
转载声明:儒道易行 拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章的内容,不得以任何方式将其用于商业目的。