0x01 产品简介 华测监测预警系统2.2是一套针对地质灾害监测预警的科学、完善平台，实现了地质灾害防治管理的科学化、信息化、标准化和可视化。该系统由上海华测导航技术有限公司开发，主要服务于山体滑坡、地裂缝等地质灾害的自动化预警。 0x02 漏洞概述 华测监测预警系统2.2 UserEdit.aspx 接口处存在SQL注入漏洞，未经身份验证的远程攻击者可利用SQL注入漏洞配合数据库xp_cm

11月8日，由自然资源部指导，中国测绘学会、中国地理信息产业协会和中国卫星导航定位协会共同主办的第一届中国测绘地理信息大会于浙江德清盛大开幕，各家科研院所、企事业单位云集现场，展示科技创新成果。华测导航携多类智能装备及解决方案亮相展会C位，全面展示北斗高精度在各行各业的繁荣应用图景。 http://www.huace.cn/about/news_show/1343 此次大会以“科技引领，创

目录 1. 资产搜集 2. 漏洞复现 3. 实战总结 1. 资产搜集 直接上fofa 和 hunter 个人推荐hunter可以看到icp备案公司直接提交盒子就行了 FOFA语法 app=”华测监测预警系统2.2” Hunter语法 web.body=”华测监测预警系统2.2” 2. 漏洞复现 这里手动复现的，目录是/Handler/FileDownLoad.

华测监测预警系统 2.2 存在任意文件读取漏洞 一、 华测监测预警系统 2.2 简介二、漏洞描述三、影响版本四、fofa查询语句五、漏洞复现1、手动复现2、自动复现 六、修复建议 免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用