声明：该公众号大部分文章来自作者日常学习笔记，也有少部分文章是经过原作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系刘一手

请勿利用文章内的相关技术从事非法测试，如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究

EnjoySCM简介

EnjoySCM是一款适应于零售企业的供应链管理软件，主要为零售企业的供应商提供服务。供应链管理（Supply Chain Management简称SCM）是一个将产品、服务和信息从供应商到客户最优化传递的过程，是在交易伙伴群体中，围绕着满足最终用户这一共同的目标所形成的一系列业务过程。

漏洞描述

enjoyscm UploadFile参数存在 任意文件上传漏洞，攻击者通过漏洞可以获取服务器权限。

危害

非法用户可以上传的恶意文件控制整个网站，甚至是控制服务器。

漏洞复现

使用脚本进行检测

漏洞修复

1、禁止未授权进行文件上传操作

2、设置上传文件类型，只允许上传特定文件类型

3、内容检测:文件头，完整性检测。

脚本已放置星球