【漏洞复现】鲸发卡系统 /pay/xinhui/request_post 任意文件读取漏洞

于 2024-08-12 15:40:51 发布
阅读量223 收藏
点赞数 9
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141132880
版权

请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。如有侵权烦请告知,我们会立即删除并致歉。谢谢!

漏洞描述

 鲸发卡系统 /pay/xinhui/request_post 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件),导致网站处于极度不安全状态。

漏洞环境 

FOFA语法:body="/static/theme/maowang51/css/style.css"

漏洞复现 

构造payload发送请求

 漏洞修复建议

建议联系厂商处理

外道・輪廻天生
关注
  • 9
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
发卡系统 /pay/xinhui/request_post 任意文件读取漏洞复现
0xSec
07-09 583
发卡系统 /pay/xinhui/request_post 接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
漏洞复现发卡系统 /pay/xinhui/request_post 任意文件读取漏洞
qq_39894062的博客
07-11 512
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!!!
发卡系统request_post接口存在任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
07-11 336
发卡系统request_post接口处存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
Xinhui学习NLP的笔记本:基于MLP/CNN的姓氏分类系统
Ahu_Wxh_Ai的博客
06-09 549
鉴于英文水平一般,总结好好用中文写,作为本次实验和作业的一个句号。通过这次实验任务,我学习了如何使用多层感知器(MLP)进行姓氏分类,并探索不同类型的神经网络层对数据张量大小和形状的影响,其中主要是多层感知机网络和卷积神经网络。此外,还尝试在模型中添加了dropout层,观察它对分类结果的影响。在使用使用多层感知器进行姓氏分类时候,以一个简单的姓氏分类任务为例,使用PyTorch实现了一个多层感知器模型。首先,我们准备好姓氏分类的数据集。然后定义一个简单的多层感知器模型,用于姓氏分类。return x。
Vivado报错:[Runs 36-527] DCP does not exist,generate Output Products MIG ddr3 IP核后报错DCP问题解决
nature_forest的博客
02-17 8884
Vivado报错:[Runs 36-527] DCP does not exist_烦恼诗集#的博客-CSDN博客 先参考这个文档解决, 问题描述:综合工程时,某个IP文件被标红,出现[Runs 36-527] DCP does not exist...... 的报错 解决办法:如果是在windows系统上用Vivado打开工程,当工程路径过长时,可能会出现这样的问题。比如: D:\BaiduNetdiskDownload\FPGA\DBF\fpga-filter-implementation-ma
XmlBuilder读取Xml文件并转为java对象
欧阳小白闯天涯
07-06 2576
源xml文件: <?xml version="1.0" encoding="UTF-8"?> <c c1="0"> <d d1="101280101" d2="广州" d3="guangzhou" d4="广东"/> <d d1="101280102" d2="番禺" d3="panyu" d4="广东"/> <d d1="101280...
222Beta多样性限制性排序CPCoA/CCA/RDA/LDA
刘永鑫的博客——宏基因组公众号
08-13 7467
222Beta多样性限制性排序CPCoA/CCA/RDA/LDA本节作者:文涛,南京农业大学;刘永鑫,中科院遗传发育所版本1.0.5,更新日期:2020年8月12日本项目永久地址:htt...
送书 | 222Beta多样性限制性排序CPCoA/CCA/RDA/LDA
悟道西方
08-13 5460
生物信息学习的正确姿势NGS系列文章包括NGS基础、转录组分析(Nature重磅综述|关于RNA-seq你想知道的全在这)、ChIP-seq分析(ChIP-seq基本分析流程)、单细...
手写签名系统的设计与实现之实现pdf文件上手写签名效果
04-17 2052
前几篇文章我们分别介绍了显示文件列表、解析pdf、手写画板及画笔设置的功能了,今天我们就介绍一下,最后最关键的一部分-手写签名效果。先看看效果图: 选定位置 画板上写字 预览签名效果 一、实现原理: 对于pdf文件上进行相关操作,本人并没找到一些比较好的方法,为了实现签名效果,尝试了很多方法也没达到预期效果,最后这种实现方法相对好些,也比较简单。其基本思想是根据对pdf文件加印章
Xinhui学习NLP的笔记本:基于注意力机制的机器翻译
06-24
本项目所用的所有数据和语料。
ycm 实习文件 C++
05-09
ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++
ycm 实习 文件 C++ part3
05-09
ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++
ycm 实习 文件 C++ part2
05-09
ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++ycm 实习 文件 C++
Linotronic530_xp_64bit.zip
08-28
【标题】"Linotronic530_xp_64bit.zip" 提供的是 Linotronic 530 打印机在64位 Windows 操作系统下的驱动程序,特别指出它兼容64位的 Windows XP 系统,并且经过验证在 Windows 10 环境中也能正常使用。这个压缩包...
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
洛秋的博客
08-07 1417
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
兼顾智能安全,医疗电子与AI如何打通?
bigbit_LiLi的博客
08-07 897
虽然目前光子计数技术仍在开发的过程中,但我们有理由相信,在不久后的将来,随着技术的进一步发展和应用拓展,光子计数有望在全球范围内得到更广泛的应用,为人类健康事业的发展做出更大的贡献。安森美耕耘医疗行业已经有三十多年的历史,例如在专业助听器的产品化落地中,安森美解决方案集成了多核处理器、先进的音频处理算法、低功耗蓝牙模块和丰富外围接口的系列核心产品,能够实现卓越的音质、长电池寿命和无线连接功能,帮助助听器制造商打造出高质量、智能化的助听器产品,显著提升用户的听觉体验。未来,医疗电子控制器肯定会国产化。
【CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复该漏洞(附批量漏洞检测工具及分析伪代码)
最新发布
m0_62783065的博客
08-09 7010
【CVE-2024-38077】核弹级RCE漏洞如何自检并修复该漏洞(附原文内分析伪代码)
应急响应-主机安全系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 1118
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
某赛通电子文档安全管理系统 CDGAuthoriseTempletService1 SQL注入漏洞复现(XVE-2024-19611)
0xSec
08-08 681
某赛通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的 POST 请求注入恶意 SQL 代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值