某人力管理管理平台UploadHandler 任意文件上传漏洞

admin 2024年8月6日10:19:21评论37 views字数 590阅读1分58秒阅读模式

 

0x02 漏洞介绍
Vulnerability introduction
    某人力资源管理软件是一款专为现代企业设计的人力资源管理软件解决方案,旨在通过先进的信息化手段提升企业人力资源管理的效率与水平。该系统集成了组织人事、考勤管理、薪资核算、招聘配置、培训发展、绩效管理等核心模块,并提供了灵活的配置选项和强大的数据分析能力,以满足不同企业规模和行业特性的需求。

某人力资源管理软件存在任意文件上传漏洞,攻击者可通过该漏洞上传任意文件到服务器上,包括木马后门文件,导致服务器权限被控制。

0x03 搜索语法
Search for syntax
  • Fofa:
body="/Assistant/Default.aspx"
  • Hunter:
body="/Assistant/Default.aspx"
  • Quake:
body="/Assistant/Default.aspx"

某人力管理管理平台UploadHandler 任意文件上传漏洞

0x04 漏洞复现
Request packets
  • 上传任意文件
某人力管理管理平台UploadHandler 任意文件上传漏洞
  • 访问文件
某人力管理管理平台UploadHandler 任意文件上传漏洞
0x05 nuclei POC
nuclei POC
  • Nuclei批量漏洞检测POC脚本已发布知识星球:小明信安POC库

某人力管理管理平台UploadHandler 任意文件上传漏洞

0x06 修复建议
Remediation recommendations
  • 在Web应用防火墙中添加接口临时黑名单规则
  • 联系厂商打补丁或升级版本。

 

 

原文始发于微信公众号(小明信安):【1day | 漏洞复现】某人力管理管理平台UploadHandler 任意文件上传漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月6日10:19:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   某人力管理管理平台UploadHandler 任意文件上传漏洞http://cn-sec.com/archives/3038155.html

发表评论

匿名网友 填写信息