一、漏洞描述
深圳市强鸿电子有限公司鸿运主动安全云平台存在任意文件下载漏洞,攻击者可通过此漏洞下载敏感文件信息,获取数据库账号密码,从而为下一步攻击做准备。
二、网络空间搜索引擎查询
fofa查询
body="./open/webApi.html"
三、漏洞复现
例:读取数据库配置文件
四、批量检测与利用
单个检测
python .\ReadFile.py -u http://ip:port
批量检测
python .\ReadFile.py -f filename
微信公众号关注 网络安全透视镜 回复 20231012 获取批量检测与利用脚本
![[开源]基于流程编排的自动化测试工具,插件驱动,测试无限可能](https://img-blog.csdnimg.cn/img_convert/f1e62312961fe3ace7a5816bc94c3be8.png)
