鸿运主动安全云平台任意文件下载漏洞

一、漏洞描述

深圳市强鸿电子有限公司鸿运主动安全云平台存在任意文件下载漏洞,攻击者可通过此漏洞下载敏感文件信息,获取数据库账号密码,从而为下一步攻击做准备。

鸿运主动安全云平台任意文件下载漏洞_第1张图片

二、网络空间搜索引擎查询

fofa查询

body="./open/webApi.html"

鸿运主动安全云平台任意文件下载漏洞_第2张图片

三、漏洞复现

例:读取数据库配置文件

鸿运主动安全云平台任意文件下载漏洞_第3张图片

四、批量检测与利用

单个检测

 python .\ReadFile.py -u http://ip:port

批量检测

python .\ReadFile.py -f  filename

微信公众号关注 网络安全透视镜 回复 20231012 获取批量检测与利用脚本

你可能感兴趣的:(安全,网络)