HanDs
管理员

[7月漏洞公开] 财政部某站任意文件上传 



财政部,代理机构入账入口,注册,会有附件上传,抓包发现仅仅需要改变文件后缀即可达到任意文件上传,上传地址那边有显示目录,但是改变目录即可执行恶意代码。

详细说明:

财政部,代理机构入账入口,注册,会有附件上传,抓包发现仅仅需要改变文件后缀即可达到任意文件上传,上传地址那边有显示目录,但是改变目录即可执行恶意代码。

漏洞证明:

代理机构入口

2.png



那边附件上传

1.png



上传文件所在目录

4.png



修改目录的,那修改过后缀的恶意代码即可执行.

3.png



表示权限挺大的

5.png





shell 地址http://**.**.**.**/file//0/1234_201605311057570836.jsp



不敢深入了.话说事关国家财务部,纳税人民交税给给国家,国家的人才也.......这也太

修复方案:

上传过滤规则需谨慎


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
财政部 任意 文件 上传
#1楼
发帖时间:2016-7-18   |   查看数:0   |   回复数:1
jjyyjjyy
天堂鸟LV23
6666

2016-7-18 #2楼
游客组
快速回复