LiveBOS UploadFile.do 任意文件上传漏洞复现(XVE-2023-21708)

已于 2024-08-01 15:23:31 修改
阅读量1k 收藏
点赞数 3
分类专栏: 漏洞复现 文章标签: 安全 web安全
于 2024-08-01 15:15:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904294/article/details/140847466
版权

0x01 产品简介

LiveBOS(Live Business Object System)是顶点软件自主研发的以业务对象建模为核心的业务中间件及其集成开发工具,它通过业务模型建立直接完成软件开发的创新模式,支持各类基于WEB的专业应用软件与行业大型应用的开发。LiveBOS系统由三个相对独立的产品构成:运行支持支撑平台LiveBOS Server、开发集成环境LiveBOS Studio以及运维管理工具LiveBOS Manager。

0x02 漏洞概述

LiveBOS UploadFile.do 接口存在任意文件上传漏洞,未经身份验证的攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。

0x03 影响范围

福建顶点软件股份有限公司-LiveBos <= 3.9.0

0x03 复现环境

FOFA:

body="Power by LiveBOS"

0x04 漏洞复现

PoC

POST /feed/UploadFile.do;.js.jsp HTTP/1.1
了解本专栏 订阅专栏 解锁全文 超级会员免费看
0xSecl
关注
专栏目录
订阅专栏
【1day】复现LiveBOS ShowImage.do 接口存在任意文件读取漏洞
记录并分享学习安全的知识点..
08-21 912
LiveBOS(简称LiveBOS)是顶点软件股份有限公司开发的一个对象型业务架构中间件及其集成开发工具。它以业务模型建立为中心,直接完成软件开发的创新软件开发模式。适合于各类基于WEB的专业应用软件与行业大型应用的开发。LiveBOS ShowImage.do 接口存在任意文件读取漏洞,攻击者通过漏洞可以获取服务器中的敏感文件。 ​
漏洞复现LiveBos UploadFile 任意文件上传漏洞
weixin_54799594的博客
08-09 1264
漏洞复现过程记录
漏洞复现LiveBos任意文件上传漏洞 带批量POC
最新发布
qq_48368964的博客
08-11 1541
LiveBOS,由顶点软件股份有限公司开发的对象型业务架构中间件及其集成开发工具,是一种创新的软件开发模式,以业务模型建立为核心,直接完成软件开发。.js.jsp存在任意文件上传漏洞,攻击者可以利用该漏洞获取系统服务器权限,从而控制该系统。,但实际上上传的是一个包含Java Server Pages (JSP)代码的文本文件。: 这是一段JSP代码,当该文件被作为网页请求时会被执行。这样的相对路径来遍历目录结构,以将文件保存到服务器的其他位置。,这是文件上传时常用的数据格式,并指定了数据边界。
LiveBOS-UploadImage.do-任意文件上传漏洞
棉花糖的博客
08-01 558
LiveBOS灵动业务架构平台,是面向对象的业务支撑平台与建模工具。在LiveBosUploadImage.do接口中,发现了一处任意文件上传漏洞,攻击者可利用该漏洞上传任意文件。
POC分享 LiveBOS UploadFile.do 任意文件上传漏洞复现(XVE-2023-21708)
qq_56895879的博客
08-06 224
【代码】POC分享 LiveBOS UploadFile.do 任意文件上传漏洞复现(XVE-2023-21708)
jsp实现文件上传——douploadFile.jsp
穆雄雄的博客
11-21 298
&lt;%@page import="java.io.File"%&gt; &lt;%@page import="org.apache.commons.fileupload.FileItem"%&gt; &lt;%@page import="org.apache.commons.fileupload.disk.DiskFileItemFactory"%&gt; &lt;%@page impor
通天星CMSV6 车载定位监控平台 任意文件上传漏洞复现XVE-2023-23454)
0xSec
03-31 640
通天星CMSV6 车载定位监控平台upload接口处存在文件上传漏洞,攻击者可通过该漏洞直接上传一个 webshell 到服务器上,获取服务器权限,进⽽控制整个 web 服务器。
漏洞复现】用友 U8CRM uploadfile.php 任意文件上传漏洞
凝聚力安全团队
06-24 754
用友 U8CRM uploadfile.php 接口存在任意文件上传漏洞,攻击者可以通过漏洞上传任意文件甚至木马文件,从而获取服务器权限。用友CRM智能化销售与售后赋能工作台,以赋能团队和客户经营为目标,融入用友在客户关系与营销团队管理的丰富实践经验,专注为企业提供直分销融合一体化、移动化、自动化、社会化、智能化的销售、售后与客户管理解决方案,提升企业的区域客户经营能力与数字化管理决策能力。
昂**诚供应链管理系统任意文件上传漏洞分析 CNVD-2023-26756
afei001
05-26 1440
对于.NET语言,笔者不是很熟。而且这套源码既使用了MVC架构,还将所有的程序编译成了.dll文件。但是,经过翻阅许多师傅优秀的.NET代码审计文章,慢慢有点入门了。只能硬着头皮上了。如有不当之处,还望各位师傅指正。
[漏洞分析]LiveBos文件上传漏洞复现及绕过分析
LiangYueSec的博客
08-05 523
[漏洞分析]LiveBos文件上传漏洞复现及绕过分析
任意文件上传漏洞原理及上传利用案例(任意文件上传漏洞怎么解决)
白帽黑客八哥的博客
12-18 1886
任意文件上传漏洞是一种Web应用程序中常见的安全漏洞,攻击者通过该漏洞可以上传恶意文件到服务器上。这可能导致多种安全问题,包括远程代码执行、服务器拒绝服务等。通常,攻击者通过构造特定的文件上传请求,绕过应用程序的文件类型验证和访问控制,成功上传具有恶意代码的文件。
任意文件上传漏洞详解与防护
鑫和皓的博客
08-10 1905
任意文件上传漏洞是一种常见的网络安全问题,它允许攻击者上传并执行恶意文件,从而获取或破坏系统数据。上传恶意脚本:攻击者可以上传包含恶意代码的脚本文件,如PHP、ASP、JSP等,然后通过浏览器访问这些文件,执行恶意代码。上传恶意二进制文件:攻击者可以上传包含恶意代码的二进制文件,如DLL、EXE等,然后利用其他漏洞或手段执行这些文件。严格检查上传文件:对上传文件的类型、大小、名字和内容进行严格的检查,只接受符合要求的文件。使用安全编程技术:在编写文件上传功能时,使用安全编程技术,如预备语句、输入验证等。
金碟EAS myUploadFile.do接口处任意文件上传
weixin_43567873的博客
03-04 149
金碟EAS myUploadFile.do接口处存在任意文件上传
LiveBos ShowImage.do文件imgName参数任意文件读取漏洞
weixin_43567873的博客
03-10 295
LiveBos ShowImage.do文件imgName参数任意文件读取漏洞
React Native Webview安全问题解决办法
lxyoucan的博客
03-19 3309
威胁描述 根据CVE披露的WebView远程代码执行漏洞信息(CVE-2012-663、CVE-2014-7224),Android系统中存在一共三个有远程代码执行漏洞的隐藏接口。分别是位于android/webkit/webview中的“searchBoxJavaBridge”接口、android/webkit/AccessibilityInjector.java中的“accessibility”接口和“accessibilityTraversal”接口。调用此三个接口的APP在开启辅助功能选项中第三方
【渗透+取证】博客传送门(持续更新中)
记录并分享学习安全的知识点..
12-05 1826
【渗透+取证】博客传送门(持续更新中)
LiveGBS国标流媒体GB28181开放流媒体服务平台-实际测试时问题排查
热门推荐
青柿视频流媒体的博客
04-22 1万+
LiveCMS 和 LiveSMS都部署起来后,浏览器输入ip:10000端口打不开LiveCMS的页面。这种情况一般是LiveCMS的10000端口被其他程序占用了导致。可以先卸载LiveCMS,打开livecms.ini文件,把http端口从10000改成100002或其他端口,再重新安装LiveCMS。
uni-app uni.uploadFile上传多文件前后端java代码
04-26
很抱歉,我无法提供代码的参考,因为我是一名语言模型AI,没有能力编写代码。但是,我可以向您推荐一些相关的资源和文章,以帮助您解决您的问题。 首先,您可以查阅uni-app和uni.uploadFile的官方文档,以深入了解如何使用这个功能上传多个文件。对于后端Java代码,请在服务器端参考Java Servlet规范和Java EE规范。您也可以查找一些示例代码和教程,了解如何在Java中实现多文件上传。以下是一些可能有用的资源: - uni-app官方文档:https://uniapp.dcloud.net.cn/api/request/network-file - Java EE规范:https://docs.oracle.com/javaee/6/tutorial/doc/bnadx.html - 多文件上传示例:https://www.tutorialspoint.com/servlets/servlets-file-uploading.htm 希望这些信息能对您有所帮助,如果您有其他问题或需要更多的指导,请告诉我,我会尽力为您提供更好的帮助和支持。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0xSecl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值