拓尔思文件读取漏洞(CNVD-2020-27769)

最新推荐文章于 2023-12-26 09:17:59 发布
最新推荐文章于 2023-12-26 09:17:59 发布
阅读量1.5k 收藏
点赞数
分类专栏: 【二】攻击技术剖析·漏洞原理·红队 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37865996/article/details/125857592
版权

漏洞简介

拓尔思中文检索系统TRSWAS5.0 web/tree接口treefile参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。

复现过程

http://xx.com/was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties

如漏洞存在,则显示文件内容

修复手段

目前官方已经在新的版本中修复该漏洞,可从官方下载进行升级相应组件或者使用附件里的文件trswas.jar替换目录D:\TRS\TRSWAS5.0\Tomcat\webapps\was5\WEB-INF\lib下的文件

参考

https://blog.csdn.net/weixin_43650289/article/details/109072674

东方隐侠-千里
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
ShowDoc后台文件上传漏洞复现 CVE-2021-41745&CNVD-2020-49480
afei001
08-09 1184
ShowDoc一个非常适合IT团队的在线API文档、技术文档工具。Showdoc存在文件上传漏洞,攻击者可以利用漏洞获取服务器权限。
渗透测试之文件下载漏洞
weixin_45380284的博客
03-06 1313
文件下载漏洞 理论: 1.一些网站由于业务需求,往往需要提供文件查看或文件下载功能,但若对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意敏感文件,这就是文件查看与下载漏洞。 2.利用方式: 一般链接形式: download.php?path= down.php?file= data.php?file= download.php?filename= 或者包含参数: &Src= &Inputfile= &Filepath= &Path= &Data= 当遇到
TRS的WCM历史漏洞
weixin_42140534的博客
07-30 5254
1访问网站的登录页 看到TRS WCM知道为北京开发的一个平台,这个平台是存在相关漏洞的 2 在网址后面添加查看管理员密码的链接 wcm/infoview.do?serviceid=wcm6_user&MethodName=getUsersByNames&UserNames=admin 3在地址栏中输入xxx:8080/wcm/app/login.jsp回车即可成功登录,且账号为system ...
showdoc 文件上传 (CNVD-2020-26585)漏洞复现
weixin_42675091的博客
09-03 1806
showdoc 文件上传 (CNVD-2020-26585)漏洞复现
TRSWAS5.0文件读取漏洞预警
weixin_46022050的博客
03-02 4231
TRSWAS5.0文件读取漏洞预警 2018-12-13 10:48 一、漏洞描述: 中文检索系统TRSWAS5.0web/tree接口treefile参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。 漏洞影响版本:TRSWAS 5.0 漏洞影响危害:中危 二、漏洞检测方式: 将***.com替换域名或对应IP直接访问可读取出配置文件信息。...
《WEB安全漏洞30讲》(第5讲)任意文件上传漏洞
午夜观星河
05-22 3196
文件上传漏洞,指攻击者利用程序缺陷绕过系统对文件的验证与处理策略将恶意程序上传到服务器并获得执行服务器端命令的能力。这个漏洞其实非常简单,就是攻击者给服务器上传了恶意的木马程序,然后利用此木马程序执行操作系统命令,从而获得服务器权限,造成严重的安全隐患。比如一个JAVA系统本来需要上传身份证图片进行用户实名认证,结果恶意用户上传了jsp木马文件,之后利用这个文件执行系统命令,再以这个系统为据点,对内网其他互通的系统进行攻击,这样将导致整个内网系统的沦陷。
TRS CMS(CMS) 漏洞集合
热门推荐
收集盒 Book box
08-09 1万+
TRS()WCM 文件上传漏洞 影响版本: WCM5.2 WCM6.1 漏洞描述: TRSWCM是系列产品的重要组成部分,服务于信息资源的发布。 Lee在对WCM6.1(STD1091SP2)进行风险评估的时候发现,file_upload.html未做访问限制,攻击者可以匿名访问上传页面进行文件上传操作。 说明: file/file_upload.html info
CNVD-2020-27769 TRSWAS5.0文件读取漏洞
2301_81907423的博客
12-26 484
CNVD-2020-27769 TRSWAS5.0
CNVD-2020-27769—文件读取漏洞
战神/calmness的博客
10-14 3327
TRSWAS5.0文件读取漏洞 注明:网上相关资料较少,进行整理了一下。展示相关的路 1、描述 中文检索系统TRSWAS5.0 web/tree接口treefile参数存在文件读取漏洞,可读取数据库配置文件、账户密码等信息,导致配置文件信息泄露威胁网站安全。 2、过程 http://IP地址//was5/web/tree?treefile=/WEB-INF/classes/com/trs/was/resource/wasconfig.properties 显示文件内容 3、修复
渗透知识-Struts2漏洞
Jian Sun_的博客
02-11 4684
Struts2漏洞利用实例 如果存在struts2漏洞的站,administrator权限,但是无法加管理组,内网,shell访问500. 1.struts2 漏洞原理:struts2是一个框架,他在处理action的时候,调用底层的getter/setter来处理http的参数,将每一个http的参数声明为一个ONGL。 2.struts2 漏洞利用: 步骤如下:1>验证漏洞: 证明了存在struts2漏洞。 2>执行命令: whoami 很大的administrat...
TRS WAS 5.0 用户手册
07-20
TRS WAS 5.0 用户手册,详细介绍
TRS WCM内容协作平台
07-08
TRS 内容协作平台处于TRS 内容管理基础架构的核心,秉承TRS内容管理CIO标准路线,集协作性、行业性和开放性于一体,是媒体整合、共享和利用数字内容资产,改善组织运行效率,提高核心竞争力的理想选择,可以帮助媒体快速地构建媒体网站、媒体内外信息门户、媒体办公协作平台、媒体的内容采编发平台等,实现全方位的内容管理。
-TRS海贝大数据管理系统软件产品说明.pdf
11-22
大数据是数据的爆发式增长和社会化趋势的必然结果,美国政府 2012 年 3 月发布大数 据(Big data)战略,其目标是通过提高从大型复杂的数字数据集中提取知识和观点的能力, 承诺帮助加快在国家在科学与工程中的...
信创数据库产业研究报告-.docx
最新发布
04-28
信创数据库产业研究报告-.docx
信息技术股份有限公司-招投标数据分析报告.pdf
12-23
www.bidizhaobiao.com 本报告于 2019年12月1日 生成 1/11 www.bidizhaobiao.com 招标投标企业报告 信息技术股份有限公司 每日 条信息更新,多维度检索、企业资 80000+ 质匹配、甲方监控等功能,让中标快人...
TRSWCM海云集约化智能门户V8.0用户手册
12-17
海云集约化智能门户 TRS HyCloud IIP 用户手册 V8.0
:2020年年度报告.PDF
04-13
:2020年年度报告.PDF
性能测试面试题大全
feng的博客
11-02 1171
简答题 客户交付一个性能测试项目,请阐述你的实施流程。 答案: 测试设计阶段: 1)了解被测系统的性能需求,定义测试目标和范围; 2)了解系统的技术信息,如系统架构等; 3)确定测试方案、进度安排,并制定测试计划,场景设置方案,及需要收集的测试数据; 4)同相关人员协商讨论测试方案; 5)准备数据收集模板;不同项目的性能测试,需要收集的数据不同;针对性的制定一个模板,更符合需要; 测试环境准备: 1)技术准备;选择性能测试工具;测试方案中涉及到的技术问题;测试数据的收集方案实现;如:如何监控系统资源等; 2
showdoc文件上传-vulfocus/showdoc-cnvd_2020_26585:latest 漏洞复现实战
weixin_40416851的博客
12-13 338
ShowDoc是一个非常适合IT团队的在线API文档、技术文档工具。通过showdoc,你可以方便地使用markdown语法来书写出美观的API文档、数据字典文档、技术文档、在线excel文档等等。名称: vulfocus/showdoc-cnvd_2020_26585:latest。使用webshell工具连接,在/tmp目录下存在flag。api_page存在任意文件上传.
java笔试题
10-12
java笔试题是一道考察Java基础知识和编程理解能力的题目。 首先,我们需要理解题目的要求,然后分析代码的作用并找出问题所在,最后给出相应的解决方法。 在回答这道题之前,需要提醒你提供具体的java笔试题内容,才能准确回答你的问题。希望你能提供具体的题目内容,以便我可以为你提供具体的解答。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

东方隐侠-千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值