enjoyscm UploadFile任意文件上传漏洞
2023-3-1 22:59:42 Author: 鹏组安全(查看原文) 阅读量:58 收藏

声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系刘一手
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。仅供学习研究

EnjoySCM简介

EnjoySCM是一款适应于零售企业的供应链管理软件,主要为零售企业的供应商提供服务。供应链管理(Supply Chain Management简称SCM)是一个将产品、服务和信息从供应商到客户最优化传递的过程,是在交易伙伴群体中,围绕着满足最终用户这一共同的目标所形成的一系列业务过程。

漏洞描述

enjoyscm UploadFile参数存在 任意文件上传漏洞,攻击者通过漏洞可以获取服务器权限。

危害

非法用户可以上传的恶意文件控制整个网站,甚至是控制服务器。

漏洞复现

使用脚本进行检测

漏洞修复

1、禁止未授权进行文件上传操作

2、设置上传文件类型,只允许上传特定文件类型

3、内容检测:文件头,完整性检测。

脚本已放置星球


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

推荐阅读

干货 | 渗透知识库

工具 | sqlmap图形化工具

审计 | SeaCms代码审计getshell

鹏组安全 | 2022年精华文章汇总

实战 | 记一次授权的渗透测试

应急 | linux实战清理挖矿病毒

免责声明
由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号鹏组安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5NDU3NDA3OQ==&mid=2247488602&idx=1&sn=f221028522040b945cabdf5c8c9bc2fb&chksm=c01cd8caf76b51dc77113a001e3bf177d8b746e6c91006186c225ff139777d0d2e25e3876483#rd
如有侵权请联系:admin#unsafe.sh