【0 day】鸿运主动安全监控云平台存在任意文件下载漏洞
【0 day】鸿运主动安全监控云平台存在任意文件下载漏洞
迪哥讲事 2023-10-14 21:39
免责声明:文章来源互联网收集整理,请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。
一、漏洞描述
深圳市强鸿电子有限公司鸿运主动安全监控云平台存在任意文件下载漏洞,攻击者可通过此漏洞下载敏感文件信息,获取数据库账号密码,从而为下一步攻击做准备。
二、网络空间搜索引擎查询
fofa查询
body="./open/webApi.html"
三、漏洞复现
例:读取数据库配置文件
四、批量检测与利用
单个检测
python .\ReadFile.py -u http://ip:port
批量检测
python .\ReadFile.py -f filename
回复20231014可以获取脚本
如果你是一个长期主义者,欢迎加入我的知识星球(优先查看这个链接,里面可能还有优惠券
),我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款
往期回顾
福利视频
笔者自己录制的一套php视频教程(适合0基础的),感兴趣的童鞋可以看看,基础视频总共约200多集,目前已经录制完毕,后续还有更多视频出品
https://space.bilibili.com/177546377/channel/seriesdetail?sid=2949374
技术交流
技术交流请加笔者微信:richardo1o1 (暗号:growing)