【HR】漏洞复现:智慧校园管理系统前台任意文件上传漏洞
http://cdn.u1.huluxia.com/g4/M00/7B/A3/rBAAdmCUrtaAd5VlAACEPHpBFBk816.jpg
FOFA语句: body="DC_Login/QYSignUp"http://cdn.u1.huluxia.com/g4/M00/7B/A3/rBAAdmCUrtaACjAXAABWt18Pgvk878.jpg
登录页面如下,只要存在企业用户注册就可能出现漏洞http://cdn.u1.huluxia.com/g4/M00/7B/A3/rBAAdmCUrtaAZh61AAA38wClvLo290.jpg
这个地方的上传附件允许了任意文件上传,包括 aspx木马,上传后还会返回 webshell地址http://cdn.u1.huluxia.com/g4/M00/7B/A3/rBAAdmCUrtaAP-4hAABWVHLPWO8247.jpg
冰蝎连接http://cdn.u1.huluxia.com/g4/M00/7B/A3/rBAAdmCUrteAFHbxAABvatTHaJY551.jpg
仅供学习,不能用作非法用
注:非原创,搬砖
页:
[1]