enjoyscm UploadFile任意文件上传漏洞

admin 2023年3月2日11:18:39评论193 views字数 765阅读2分33秒阅读模式

声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究

EnjoySCM简介

EnjoySCM是一款适应于零售企业的供应链管理软件,主要为零售企业的供应商提供服务。供应链管理(Supply Chain Management简称SCM)是一个将产品、服务和信息从供应商到客户最优化传递的过程,是在交易伙伴群体中,围绕着满足最终用户这一共同的目标所形成的一系列业务过程。

漏洞描述

enjoyscm UploadFile参数存在 任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。

危害

非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器。

漏洞复现

使用脚本进行检测

enjoyscm UploadFile任意文件上传漏洞

漏洞修复

1、禁止未授权进行文件上传操作

2、设置上传文件类型,只允许上传特定文件类型

3、内容检测:文件头,完整性检测。

脚本已放置星球



付费圈子


欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员


enjoyscm UploadFile任意文件上传漏洞

进成员内部群


enjoyscm UploadFile任意文件上传漏洞



enjoyscm UploadFile任意文件上传漏洞

星球的最近主题和星球内部工具一些展示



enjoyscm UploadFile任意文件上传漏洞


enjoyscm UploadFile任意文件上传漏洞


enjoyscm UploadFile任意文件上传漏洞

enjoyscm UploadFile任意文件上传漏洞

enjoyscm UploadFile任意文件上传漏洞


enjoyscm UploadFile任意文件上传漏洞


推荐阅读


干货 | 渗透知识库


工具 | sqlmap图形化工具


审计 | SeaCms代码审计getshell


鹏组安全 | 2022年精华文章汇总


实战 | 记一次授权的渗透测试


应急 | linux实战清理挖矿病毒


免责声明
由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号鹏组安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


好文分享收藏赞一下最美点在看哦


原文始发于微信公众号(鹏组安全):enjoyscm UploadFile任意文件上传漏洞

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月2日11:18:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   enjoyscm UploadFile任意文件上传漏洞https://cn-sec.com/archives/1583074.html

发表评论

匿名网友 填写信息