蓝太平洋网站决策支持系统webeng~1.bz2配置文件下载漏洞

2016-01-20T00:00:00
ID SSV:90529
Type seebug
Reporter 哆啦A梦
Modified 2016-01-20T00:00:00

Description

蓝太平洋网站决策支持系统WebEngine存在利用短文件漏洞下载明文系统配置文件(可泄漏管理员明文密码等系统敏感配置信息) 部分部署安装在win+apache环境下存在缺陷通过短文件漏洞实现利用。

![](https://images.seebug.org/contribute/5824c3cc-20c2-4070-80c8-809c93f253f1-屏幕快照 2016-01-12 下午11.38.13.png)

配置文件中包涵了账号密码:

![](https://images.seebug.org/contribute/71160101-934f-4ee7-ba50-ef5ffa6b9764-屏幕快照 2016-01-12 下午11.38.48.png)

poc导出的密码: ![](https://images.seebug.org/contribute/a4471d67-af36-4248-b743-d7a660f4e0e4-屏幕快照 2016-01-12 下午11.42.59.png)