任意文件下载漏洞(CVE-2021-44983)

简介

CVE-2021-44983是Taocms内容管理系统中的一个安全漏洞,可以追溯到版本3.0.1。该漏洞主要源于在登录后台后,文件管理栏存在任意文件下载漏洞。简言之,这个漏洞可能让攻击者通过特定的请求下载系统中的任意文件,包括但不限于敏感信息、配置文件等,从而可能导致系统被攻击或者数据泄露。

过程

1.进入靶场,点击管理,进入后台登陆页面

任意文件下载漏洞(CVE-2021-44983)_第1张图片

2.进入后台登陆页面,查看源代码,发现默认账号密码

任意文件下载漏洞(CVE-2021-44983)_第2张图片

3.登陆进入后台,下载index.php文件,并用burp进行抓包

任意文件下载漏洞(CVE-2021-44983)_第3张图片

4.使用../../../../../../../flag获取目标

任意文件下载漏洞(CVE-2021-44983)_第4张图片

flag{df097eee-209a-41fe-8072-d0ced6579ca9}

预防

为了防止这种攻击,建议升级到Taocms最新版本,或者对系统进行安全加固,例如限制文件下载权限,设置文件下载白名单等。同时,对于所有用户来说,密码安全也是非常重要的,强烈建议定期更换复杂且不易被猜测的密码。 

 

你可能感兴趣的:(安全,网络安全,web安全)