漏洞描述
明御Web应用防火墙(简称:WAF)是一款专注为网站、APP等Web业务系统提供安全防护的专业应用安全防护产品,对网站及APP业务流量进行多维度、深层次的安全检测和防护;采用深度机器学习及威胁情报技术,通过主动安全与被动安全相结合方式识别可疑、已知、未知安全威胁,有效保障网站及APP业务安全可靠运行。漏洞由于在 report.php 中硬编码了 console登录信息,导致可以直接通过 URL 登录后台并获得 console 超级管理员权限。 首先可通过/report.m?a=rpc-timed端点判断是否存在漏洞,如部分老版本未修复则直接返回200状态码,显示 error 等错误则代表该漏洞存在。删除后面等URL参数后直接访问跟目录即可进入管理后台