某人力资源管理软件存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务器上,包括木马后门文件,导致服务器权限被控制。
- Fofa:
body="/Assistant/Default.aspx"
- Hunter:
body="/Assistant/Default.aspx"
- Quake:
body="/Assistant/Default.aspx"
-
上传任意文件
-
访问文件
-
Nuclei批量漏洞检测POC脚本已发布知识星球:小明信安POC库
-
在Web应用防火墙中添加接口临时黑名单规则 -
联系厂商打补丁或升级版本。
原文始发于微信公众号(小明信安):【1day | 漏洞复现】某人力管理管理平台UploadHandler 任意文件上传漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论