万户OA-senddocument_import.jsp任意文件上传

0x01阅读须知

????????本文章仅供参考，此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考。本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。文章中敏感信息均已做多层打马处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行负责。本文所提供的工具仅用于学习，禁止用于其他！！！

0x02漏洞概述

??????万户软件网络是业内普遍认可的智慧政务办公专家,OA系统国家行业标准编制组长单位,协同软件国家行业标准编制组长单位,22年专注协同管理领域.为您提供定制化的智慧政务一体化办公解决方案。万户OAsmartUpload.jsp文件存在任意文件上传漏洞，攻击者通过漏洞可以上传任意文件至服务器，导致服务器失陷。

0x03漏洞描述

????????文件上传漏洞通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相关解析漏洞未修复而造成的，如果文件上传功能代码没有严格限制和验证用户上传的文件后缀、类型等，攻击者可通过文件上传点上传任意文件，包括网站后门文件（webshell）控制整个网站。

0x04POC利用

????????完整POC及漏洞利用，请点击下方链接查看文章，在文章末尾加入星球获取。或点击链接关注渗透安全HackTwo回复"?星球?"进入领取poc

地址1-点击直接加入星球获取更多未公开POC

点击此地址末尾加入星球获取更多1day/0day-漏洞POC-末尾加入星球

星球2023年末-2024收录poc-500+并持续更新中

??