万户ezOFFICE一处任意文件操作

文章目录

漏洞作者: goubuli

 

其实标题可以写“万户ezOFFICE又一处任意文件上传可getshell,无上传限制”,考虑到对厂商的影响,所以标题写的隐晦一点。

万户ezOFFICE又一处任意文件上传可getshell

wooyun上面报了很多万户的文件漏洞,尤其是“北京方便面”和“瘦蛟舞”提交的较多。

今天审计的这个点,wooyun上现在还没人提交。

对应文件:

\defaultroot\public\jsp\multiuploadfile.jsp

出现问题的代码如下:

还有一些参数获取,这里指出两个重要参数:

其中mode代表命令,path指定特定位置。

那么我们做如下构造:

path=sound&mode=add

提交无需“multipart/form-data”方式提交。

其中:

参数:path=sound 指定的路径为:\defaultroot\upload\sound\

mode=add 为满足if条件,即上传。

第一次上传可能没有数据,跳转页面也可上传。(可以直接用burp提交)

 

05165309e1d34acef17331f09ed1721ebe24ec0b

 

上传成功:

05165454989041ce09718bb03931cfc99b9ad400

 

此时可以通过查看页面源码看到改名后的文件:

051656100dc1d72922203e9f36eb2e50ac0cf801

 

代码:

其中saveName为改名后的文件。

然后访问shell:http://oa.yundagroup.com:7001/defaultroot/upload/sound/2014110516441408716191497.jsp

051659001d4f02bde6540d4cb477b7e71b69a86c

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录