【0day】码支付系统存在前台任意文件读取漏洞
【0day】码支付系统存在前台任意文件读取漏洞
原创 Mstir 星悦安全 2025-02-08 04:53
点击上方
蓝字
关注我们 并设为
星标
0x00 前言
码支付是基于php开发的一套新型聚合收款、聚合支付系统,是一款专业的聚合免签收款系统,无需对接其余平台,个码就可收款,灰常的方便快捷,集成实现三网免挂功能,无需挂繁琐的监控软件就可实现回调,更便捷的监控方式,更优的产品质量.
Fofa指纹 : 请见文末!
前台
后台
0x01 漏洞复现
Payload:
GET /***/*****/*****?***=/etc/passwd HTTP/1.1Host: 127.0.0.1Cache-Control: max-age=0Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: close
完整POC请见文末!!!
可直接组合拳读取日志文件进后台.
0x02 纷传圈子
完整Exp及源码已放在纷传圈子中,需要可自取!!!
高质量漏洞利用研究,代码审计圈子,每周至少更新三个0Day/Nday及对应漏洞的批量利用工具,团队内部POC,源码分享,星球不定时更新内外网攻防渗透技巧以及最新学习,SRC研究报告等。
【圈子权益】
1,一年至少999+漏洞Poc及对应漏洞批量利用工具
2,各种漏洞利用工具及后续更新,渗透工具、文档资源分享
3,内部漏洞库情报分享(目前已有1900+poc,会每日更新,包括部分未公开0/1day)
4,加入内部微信群,遇到任何技术问题都可以进行快速提问、讨论交流;
5,Fofa API 高级会员Key共享
圈子目前价格为早鸟价,现在星球有500+位师傅相信并选择加入我们
网站源码及漏洞库已于2025.2.8日更新
Fofa 高级会员 Key****
超多审计资料,工具
圈子内部漏**洞库(日更)
每篇文章均有完整指纹和详细POC
一起愉快地刷分
上百套审计源码,包括各种协同办公OA
入圈之后可私信我帮你开通源码网VIP,已开通各大源码站VIP
标签:代码审计,0day,渗透测试,系统,通用,0day,闲鱼,转转
PS:关注公众号,持续更新漏洞文章
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!!