【漏洞复现】飞企互联-FE企业运营管理平台-ShowImageServlet-文件读取

.Rain.

已于 2024-01-18 10:10:46 修改

阅读量201

点赞数 5

分类专栏：漏洞复现文章标签： web安全

于 2024-01-10 18:00:00 首次发布

本文链接：https://blog.csdn.net/qq_44905116/article/details/135500974

版权

漏洞复现专栏收录该内容

369 篇文章 59 订阅 ¥39.90 ¥99.00

订阅专栏

超级会员免费看

本文介绍了飞企互联的FE企业运营管理平台中存在的一处文件读取漏洞。攻击者能利用ShowImageServlet接口，通过构造特定请求来读取服务器上的敏感信息，从而引发信息泄露的安全风险。文章详细阐述了漏洞概述和复现过程。

摘要由CSDN通过智能技术生成

0x01 产品简介

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。

0x02 漏洞概述

飞企互联FE业务协作平台中的ShowImageServlet接口存在任意文件读取漏洞。攻击者可以通过构造特定请求，读取服务器上的敏感文件，导致潜在信息泄露和安全风险。

0x03 网络测绘

fofa: app="飞企互联-FE企业运营管理平台"
Zoomeye: 'iconhash: "e90223165de1b1c7ae95336f10c3fe5d"'

0x04 漏洞复现

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

.Rain.

关注关注

5
点赞
踩
4

收藏

觉得还不错? 一键收藏
打赏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

订阅专栏

飞企互联FE业务协作平台 ShowImageServlet 文件读取漏洞复现

0xSec

12-21

1134

飞企互联 FE 业务协作平台ShowImageServlet接口存在文件读取漏洞，攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

【1day】复现飞企互联 FE业务协作平台 ShowImageServlet 接口任意文件读取漏洞

记录并分享学习安全的知识点..

08-22

557

飞企互联（Feiqi Hulian）是一家提供FE（Front End）业务协作平台的公司。FE业务协作平台是针对前端开发团队而设计的工具，旨在提高团队协作效率、优化工作流程，并支持团队成员之间的沟通和协作。飞企互联 FE业务协作平台 ShowImageServlet 接口存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中敏感文件。

参与评论您还未登录，请先登录后发表或查看评论

【漏洞复现】飞企互联Ognl表达式注入导致RCE

weixin_45530380的博客

01-02

745

【代码】【漏洞复现】飞企互联Ognl表达式注入导致RCE。

漏洞复现--飞企互联FE业务协作平台ShowImageServlet任意文件读取

qq_53003652的博客

11-20

427

FE办公协作平台是基于业务应用模型驱动开发技术与工作流的协作技术、采用了面向业务部件技术，实现应用开发、运行、管理、维护的信息管理平台。该产品ShowImageServlet 文件存在任意文件读取。

飞企互联-FE企业运营管理平台ShowImageServlet接口存在任意文件读取漏洞

wan___she__pi的博客

03-28

390

FE企业运营管理平台是一种基于先进技术的云工作台,采用云计算、智能化、大数据、物联网和移动互联网等技术帮助前端企业管理各个方面业务的软件平台。飞企互联的FE企业运营管理平台提供了一系列功能和工具，帮助企业进行项目管理、团队协作、业务流程管理、资源管理等。飞企互联-FE企业运营管理平台ShowImageServlet接口存在任意文件读取漏洞。app="飞企互联-FE企业运营管理平台"

飞企互联FE业务协作平台ShowImageServlet接口任意文件读取漏洞

xiaokp7的博客

09-13

814

FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联 FE 业务协作平台存在文件读取漏洞，攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。

飞企互联FE业务协作平台文件读取漏洞

weixin_43567873的博客

03-07

106

飞企互联FE业务协作平台文件读取漏洞

【渗透+取证】博客传送门（持续更新中）

记录并分享学习安全的知识点..

12-05

1863

【渗透+取证】博客传送门（持续更新中）

2023年国家护网0day-poc/exp漏洞全汇总(目前已更新到91个..实时更新中...)

08-21

3471

2023年国家护网目前收集到的0day和1day漏洞的poc或者exp大汇总，截止目前已更新到91个漏洞，本文会实时更新，有新的漏洞都会加上

【漏洞复现】飞企互联-FE企业运营管理平台-登录绕过

知黑而守白

01-10

453

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。飞企互联-FE企业运营管理平台存在登陆绕过漏洞，攻击者通过构造特殊的请求路径，可以绕过登录限制，登陆后台获得管理员权限。

【漏洞复现】飞企互联-FE企业运营管理平台-publicData-sql注入

知黑而守白

01-10

367

飞企互联的FE企业运营管理平台是一款基于先进技术的云工作台，采用云计算、智能化、大数据、物联网和移动互联网等技术，以支撑企业的数字化转型。飞企互联的FE企业运营管理平台中的publicData接口存在SQL注入漏洞，该漏洞使得攻击者可以通过构造精心设计的恶意SQL语句，成功执行未经授权的数据库操作。此漏洞可能导致敏感信息泄露、数据库被篡改或其他安全风险。

飞企互联-FE企业运营管理平台多处 SQL注入致RCE漏洞复现

0xSec

06-28

988

飞企互联-FE企业运营管理平台 checkGroupCode、efficientCodewidget39、ajax_codewidget39等接口存在SQL注入漏洞，未经授权攻击者通过利用SQL注入漏洞配合数据库xp_cmdshell可以执行任意命令，从而控制服务器。经过分析与研判，该漏洞利用难度低，建议尽快修复。

飞企互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞

weixin_43567873的博客

03-13

166

飞企互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞

飞企互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞复现

0xSec

03-22

1219

飞企互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口处存在文件上传漏洞，未经身份验证的攻击者可以利用此漏洞上传恶意后门文件，获取服务器权限，进而控制整个web服务器。

2024年网络安全（黑客技术）三个月自学手册

csbDD的博客

11-06

1675

网络安全可以基于攻击和防御视角来分类，我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术，而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的，技术上面其实有很大的重叠性，抛开甲乙方、岗位名称、岗位职责等因素来看，作为学技术的，也根据以往我们给学员推荐就业和入职情况来看，只要好好掌握以下几种技术（网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言）中的2到3个，都可以较好的胜任工作需求。

2024年网络安全进阶手册：黑客技术自学路线

2401_85026965的博客

10-29

1552

硬件设备网络安全问题与潜在漏洞分析及渗透测试应用

最新发布

weixin_62512865的博客

11-08

1047

硬件加密绕过漏洞：研究发现，多款流行的SSD存在加密机制绕过漏洞，攻击者可以无需密码即可绕过硬盘加密措施，获取硬盘中的数据内容。这包括Crucial和Samsung等品牌的SSD产品，它们尝试实现TCG Opal加密标准，但存在缺陷，允许在不知道任何密钥的情况下完全恢复数据。固件更新机制漏洞：英睿达MX500系列SSD被曝出存在缓冲区溢出漏洞，攻击者可以精心构造ATA数据包，通过主机直接发送给SSD控制器，从而触发缓冲区溢出，可能导致数据泄露。

入门网络安全工程师要学习哪些内容（详细教程）

白帽子佳奇的博客

11-06

591

大家都知道网络安全行业很火，这个行业因为国家政策趋势正在大力发展，大有可为!但很多人对还是不了解，不知道需要学什么?知了堂小编总结出以下要点。是一个概称，学习的东西很多，具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师，学的内容侧重点就和不一样，如果你想成为安全开发工程师，学的侧重点就和安全不一样。学的东西很泛，但选定方向就简单了。大致的学习流程总结就是：网络基础、操作系统、中间件、数据库。其中电脑基础：像系统Windows基础和Linux基础、HTML基础、代码JS基础等。

如何用3个月零基础入门网络安全？_网络安全零基础怎么学习

2401_84466224的博客

11-05

531

我们知道计算机最早是在西方发明出来的，很多名词或者代码都是英文的，甚至现有的一些教程最初也是英文原版翻译过来的，而且一个漏洞被发现到翻译成中文一般需要一个星期的时间，在这个时间差上漏洞可能都修补了。”答案是否定的，黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖，然后搭建环境，去复现漏洞，去思考学习笔者的挖洞思维，培养自己的渗透思维。

海上多平台气-电互联系统稳态建模与能量流分析方法

"海上多平台气-电互联系统稳态建模与能量流分析" 本文探讨了海上多平台气-电互联系统的稳态建模与能量流分析问题，这种系统与传统的气-电互联系统存在显著差异，由于海上平台特有的环境和设备配置，需要特别的建模...