【漏洞复现】F22服装管理软件系统UploadHandler.ashx任意文件上传漏洞

于 2023-12-08 10:19:29 发布
阅读量722 收藏 8
点赞数 12
分类专栏: 网络安全 web安全 渗透测试 漏洞复现 文章标签: 渗透测试 网络安全 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010025272/article/details/134871486
版权

漏洞描述

广州锦铭泰软件科技有限公司开发的F22服装管理软件系统/CuteSoft_Client/UploadHandler.ashx接口存在任意文件上传漏洞,由于系统对用户上传的文件类型未作任何过滤和限制,未授权的攻击者可以通过此接口上传恶意后门文件获取服务器信息或权限。
在这里插入图片描述

免责声明

技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!

漏洞集合

【传送点】上千漏洞复现复现集合 exp poc 持续更新

资产确定

body="F22WEB登陆"

漏洞复现

首页抓取数据包并修改如下进行放包测试…返回时间戳命名的aspx文件说明上传成功!!!
exp 如下

POST /CuteSoft_Client/UploadHandler.ashx HTTP/1.1
Host: ip:port
Use
了解本专栏 订阅专栏 解锁全文 超级会员免费看
丢了少年失了心1
关注
  • 12
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
asp.net利用ashx文件实现文件的上传功能
01-02
原来以为文件上传是一个比较简单的功能,结果搞了一个晚上才搞定~这里主要介绍两种方法实现。 方法一:Form表单提交 ...form action=UploadHandler.ashx method=post enctype=multipart/form-data>
F22服装管理软件系统UploadHandler.ashx任意文件上传漏洞
qq_36334672的博客
01-24 251
F22服装管理软件系统
F22服装管理软件系统 前台任意文件上传漏洞复现
0xSec
11-29 984
F22服装管理软件系统UploadHandler.ashx接口处存在任意文件上传漏洞,未经身份认证的攻击者可以通过此漏洞上传恶意后门文件控制服务器。
利用ashx文件实现文件的上传功能
HerryDong的博客
09-05 3084
原来以为文件上传是一个比较简单的功能,结果搞了一个晚上才搞定~这里主要介绍两种方法实现。 方法一:Form表单提交 html代码: <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>上传文件</title> <script ...
uploadhandler.php,WordPress Kernel Theme ‘upload-handler.php’任意文件上传漏洞
weixin_29644109的博客
03-26 63
javascript中apply、call和bind的区别在JS中,这三者都是用来改变函数的this对象的指向的,他们有什么样的区别呢.在说区别之前还是先总结一下三者的相似之处:1.都是用来改变函数的this对象的指向的.2.第一个参数都是this要指向的对 ...AIX UNIX 系统管理、维护与高可用集群建设——数据库结构设计在对数据库类应用进行优化的过程中我们了解到一个原则,即思想上要从结构...
jQuery不使用插件及swf实现无刷新文件上传
12-12
form id=”myForm” method=”post” action=”/asyncFileUpload/UploadHandler.ashx”  enctype=”multipart/form-data” target=”asyncTarget”>  文件:  <input type=”file” name=”myFile” />...
vuejs学习之路 vue上传文件控件往golang服务器上传文件
01-20
vue代码: 将搜索的nginx日志文件拖到此处,或点击上传 golang代码: func UploadHandler(w http.ResponseWriter, r *... fmt.Println(开始接收文件******) //解决跨域问题 if origin := r.Header.Get(Origin);
AspNet中使用JQuery上传插件Uploadify详解
01-21
2 在项目中添加UploadHandler.ashx文件用来处理文件的上传。 3 在项目中添加UploadFile文件夹,用来存放上传的文件。 进行完上面三步后项目的基本结构如下图: 4 Default.aspx的html页的代码修改如下: <...
Jquery uploadify上传插件使用详解
11-23
2 在项目中添加UploadHandler.ashx文件用来处理文件的上传。 3 在项目中添加UploadFile文件夹,用来存放上传的文件。 进行完上面三步后项目的基本结构如下图: 4 Default.aspx的html页的代码修改如下:
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8232
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于matlab实现人工免疫算法的解决TSP问题的方法
05-21
基于matlab实现人工免疫算法的解决TSP问题的方法,体现了免疫算法在进化计算过程中的抗原学习、记忆机制、浓度调节机制以及多样性抗体保持策略等优良特性.rar
麦肯锡图表绘制培训.pptx
05-21
麦肯锡图表绘制培训.pptx
Java_Android的自由轻量级流媒体前端.zip
05-21
Java_Android的自由轻量级流媒体前端
node-v18.20.2-linux-arm64
05-21
node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64 node-v18.20.2-linux-arm64node-v18.20.2-linux-arm64
华为的OD(Organizational Development)
05-21
华为的OD(Organizational Development)
从左到右的流水灯.PWI
05-21
毕设&课设&项目&实训- 【项目资源】: 包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。 包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】: 适用于希望学习不同技术领域的小白或进阶学习者。 可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【附加价值】: 项目具有较高的学习借鉴价值,也可直接拿来修改复刻。 对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。 【沟通交流】: 有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。 鼓励下载和使用,并欢迎大家互相学习,共同进步。
520表白html5爱心代码
05-21
520表白html5爱心代码
node-v10.18.1-headers.tar.xz
最新发布
05-21
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
asp ajax文件上传
05-26
然后使用 Ajax 异步 Post 方式将文件上传到服务器的 UploadHandler.ashx 处理程序。在处理程序中,我们从请求中获取文件并将其保存到服务器的 Uploads 文件夹中。最后,我们向客户端发送一个响应,表示文件上传成功...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

丢了少年失了心1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值