记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

某OA系统一处任意文件可绕过上传限制Getshell

2016-07-03 07:15

code 区域
合星金控财富管理某系统

http://**.**.**.**/defaultroot/UploadServlet

爱护carefor某系统

http://**.**.**.**:70011

铜陵市某区党政机关某系统

**.**.**.**:7001

通用集团下属通用地产某系统

http://**.**.**.**:7001/

常州卫生高等职业技术学校oa系统

http://**.**.**.**:7001/

晋煤集团oa系统

http://**.**.**.**:7001/

保利旗下保利影业oa系统

http://**.**.**.**:7001/

鹏博士电信传媒集团oa系统

http://**.**.**.**

交通运输部上海打捞局oa系统

http://**.**.**.**:7001

华中科技大学远程与继续教育学院oa系统

http://**.**.**.**:7001/

湖北汽车工业学院oa系统

http://**.**.**.**/

黔南民族师范学院oa系统

**.**.**.**:7001/

漏洞证明:

合星金控财富管理某系统文件可绕过上传限制getshell

/defaultroot/UploadServlet 绕过限制上传。

这个功能点本身是限制jsp类型上传的。

通过 path参数 及 fileId参数构造可自定义文件及目录名,可以绕过这个限制



http://**.**.**.**/defaultroot/UploadServlet 正常情况过滤jsp/jspx等程序文件上传。

但可构造恶意输入烧过 上传文件保存存在缺陷可通过构造恶意输入上传jspx后门。

上传输入: path参数 及 fileId参数可自定义文件及目录名。

上传类型修改为jspx可执行,jsp格式也可上传但执行会进行权限验证。

上传post包,post数据包为自写简单后门

QQ截图20160514105642.jpg



文件上传路径: http://**.**.**.**/defaultroot/upload/test/123459/1234597.jspx?cmd=dir

执行结果:

QQ截图20160514105702.jpg



执行结果:

QQ截图20160514105702.jpg

修复方案:

禁止jspx执行;



禁用path及fileId参数操纵上传文件命名。


知识来源: www.wooyun.org/bugs/wooyun-2016-0208499

阅读:141190 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“某OA系统一处任意文件可绕过上传限制Getshell”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词