企互联-FE企业运营管理平台uploadAttachmentServlet接口存在任意文件上传漏洞

已于 2024-03-27 10:16:25 修改
阅读量82 收藏
点赞数
分类专栏: 漏洞复现 文章标签: web安全
于 2024-03-27 10:12:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43567873/article/details/137069092
版权
本文介绍了FE6.5企业运营管理平台的uploadAttachmentServlet存在的文件上传漏洞,攻击者可利用此漏洞上传恶意脚本,获取服务器权限。影响版本为飞企互联的FE企业运营管理平台。修复建议是升级平台版本。
摘要由CSDN通过智能技术生成

0x01 产品介绍

FE企业运营管理平台(以下简称FE6.5)是基于互联企业云工作台,以移动技术、云计算、大数据处理技术、传感技术等信息技术为支撑,和各类业务系统全面融合的移动化云平台,分为企业版和集团版,能满足各种规模企业的信息化建设需求。FE6.5以移动、平台、社交、云及大数据四大能力为核心,推进企事业单位的全面移动化,构建与业务系统全面融合的企业运营管理平台。

0x02 漏洞概述

uploadAttachmentServlet存在文件上传漏洞,攻击者可利用该漏洞上传脚本文件,进而获取服务器权限。

搜索语法
fofa语法查找:body=”/login/indexPicXml_valid.jsp?p=”
影响版本
飞企互联-FE企业运营管理平台

0x03 漏洞复现

页面

image.png

poc:

POST /servlet/uploadAttachmentServlet HTT
了解本专栏 订阅专栏 解锁全文 超级会员免费看
今天晚上早睡觉
关注
专栏目录
订阅专栏
互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞复现
0xSec
03-22 1206
互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口存在文件上传漏洞,未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,获取服务器权限,进而控制整个web服务器
漏洞复现】飞互联-FE企业运营管理平台 uploadAttachmentServlet文件上传漏洞
weixin_54799594的博客
07-13 1929
漏洞复现记录
互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞复现_servlet uploadattachmentservlet
m0_60567881的博客
04-12 397
互联-FE企业运营管理平台 /servlet/uploadAttachmentServlet接口存在文件上传漏洞,未经身份验证的攻击者可以利用此漏洞上传恶意后门文件,获取服务器权限,进而控制整个web服务器
漏洞复现】飞互联-FE企业运营管理平台——uploadAttachmentServlet——文件上传
LongL_GuYu的博客
07-10 1040
互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。其`uploadAttachmentServlet`存在文件上传漏洞,导致恶意攻击者可以上传恶意后门、木马等,从而获取对服务器的远程访问权限或者破坏系统,对服务器造成极大的安全隐患。
互联-FE企业运营管理平台uploadAttachmentServlet存在任意文件上传漏洞
qq_36334672的博客
03-29 366
​ 飞互联-FE企业运营管理平台 uploadAttachmentServlet存在文件上传漏洞,攻击者可通过该漏洞服务器端写入后门文件,任意执行代码,获取服务器权限,进而控制整个 web 服务器
0day-飞互联-FE企业运营管理平台 uploadAttachmentServlet 任意文件上传漏洞
weixin_43167326的博客
03-22 1201
互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外,支持企业B2B、C2B与O2O等核心需求,为不同行业客户的互联网+转型提供支持。其特色在于提供云端工作环境,整合了人工智能、大数据分析和物联网设备管理,为不同行业客户的互联网+转型提供全面支持。通过智能化的决策支持和数据驱动的业务优化,企业可以更灵活、高效地运营业务,实现数字化转型的战略目标。
互联-FE企业运营管理平台uploadAttachmentServlet 任意文件上传漏洞
Keepb1ue的博客
03-22 766
互联-FE企业运营管理平台是一个基于云计算、智能化、大数据、物联网、移动互联网等技术支撑的云工作台。这个平台可以连接人、链接端、联通内外,支持企业B2B、C2B与O2O等核心需求,为不同行业客户的互联网+转型提供支持。其特色在于提供云端工作环境,整合了人工智能、大数据分析和物联网设备管理,为不同行业客户的互联网+转型提供全面支持。通过智能化的决策支持和数据驱动的业务优化,企业可以更灵活、高效地运营业务,实现数字化转型的战略目标。
互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞
weixin_43567873的博客
03-13 140
互联-FE企业运营管理平台ProxyServletUti接口任意文件读取漏洞
漏洞复现】飞互联-FE企业运营管理平台-uploadAttachmentServlet-任意文件上传
知黑而守白
03-07 1860
互联FE企业运营管理平台是一款基于先进技术的云工作台,采用云计算、智能化、大数据、物联网和移动互联网等技术,以支撑企业的数字化转型。飞互联FE企业运营管理平台 uploadAttachmentServlet 接口存在一个任意文件上传漏洞,该漏洞使得攻击者可以在受影响的系统上上传恶意文件,潜在风险包括远程执行恶意代码、访问敏感数据,以及其他危险操作。攻击者可以通过上传恶意文件来滥用系统,可能导致灾难性后果。
江苏省2024网络安全知识竞赛 新颖有创意
tinzoom的专栏
10-08 117
每队可以选择一组题进行回答,每组3题,答对第1题得10分,答对后可以选择继续答第2题,也可以中止答题,第2题得20分,答对再20分,如果答错,前面第1题的得分也没有,得0分,第三题30分,答题方式同前。每队选择一个主题进行回答,时间3分钟,答完由4个专家评委和50个大众评委共同打分,专家评委权重67%,大众评委权重33%。四轮下来取排出前三名,如果出现同分,进行加时赛,加时赛为抢答题,一题定胜负。抢答题分两个部分,前8题出题后开始抢,后8题先抢答题权再出题目。8个队同时平板答题,大屏显示各队答题情况。
黑龙江等保测评详细指南
weixin_62641226的博客
10-08 281
黑龙江等保测评是保障信息系统安全的重要环节,通过科学的测评流程和专业的评估机构,帮助企业识别和应对安全风险。等保(信息安全等级保护)是指根据信息系统的重要性和安全需求,对其进行分级保护的制度。费用因测评机构、系统复杂性和测评等级而异,建议咨询具体测评机构获取报价。2. 风险管理:通过测评,识别系统中的安全风险,制定相应的防护措施。测评报告:测评机构出具正式的测评报告,包含评估结果和整改建议。选择测评机构:选择具有资质的第三方测评机构进行正式测评。整改落实:根据测评报告中的建议,进行系统的整改和优化。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1408
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
Web安全 - 阶段性总结回顾_风险评估
小工匠
10-03 888
WAF 的主要作用,就是对用户的输入进行检测,拦截可疑地输入。检测原理就是,普通用户在应用中的输入可预测,基本不会去输入类似单引号这样可能对应用功能产生影响的输入.因此,我们只要对各类攻击类型的输入进行分析,提取出来其特征,就可以准确地识别出黑客的攻击行为并进行拦截了。但是,通过最小权限原则,我们能够在最大程度上,减少黑客在窃取到用户身份后产生的危害,也就保护了数据的安全性。因此,我们可以对内网和服务器中的各类行为进行收集,对异常的行为进行“挖掘”,从而对已发生的入侵进行检测和告警。
入门网络安全工程师要学习哪些内容
最新发布
白帽子佳奇的博客
10-08 663
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
Web安全 - 重放攻击(Replay Attack)
小工匠
10-01 1350
重放攻击(Replay Attack)是一种网络攻击方式,攻击者通过截取并重复发送已经捕获的合法通信数据包,图在受害者不知情的情况下冒充合法用户进行操作。这种攻击常见于不安全的网络协议中,攻击者无需破解通信内容,只需重发合法的消息即可造成安全威胁。重放攻击的潜在危害包括:未授权的交易执行、非法获取资源、数据泄露以及系统篡改等。随着网络系统的日益复杂,重放攻击仍然是一个常见的威胁,尤其是在不具备防御机制的旧协议或自定义通信方案中。使用缓存减少存储开销。利用异步处理避免阻塞主线程。
【网络安全】内部应用中的多重漏洞利用
等风来
09-30 349
在最近的一次渗透测试中,我对一个仅供员工使用的内部应用程序进行了评估,重点关注身份验证和帐户管理功能。该应用程序允许用户通过电子邮件地址注册并验证帐户。
网络安全cybersecurity的几个新领域
cocofu的博客
09-30 1333
**解释**:由于神经形态芯片模拟生物神经网络的独特架构,它们可能会暴露新的攻击面。- **学习曲线**:由于神经形态芯片的架构与传统计算机不同,开发者需要学习新的编程范式和思维模式,这可能涉及对神经科学和生物神经网络的基本理解。- **应用**:例如,在入侵检测系统中,神经形态芯片可以实时分析网络流量,识别出与正常模式不符的异常活动,从而提高检测的准确性和速度。- **应用**:在企业网络安全中,神经形态芯片可以用于构建智能防火墙,通过学习网络流量模式和攻击特征,自动调整防护规则,提高防御效果。
NB-IoT物联网管理平台:探索万物互联的中国机遇与挑战
总结来说,NB-IoT物联网管理平台解决方案是运营商在物联网大潮中转型和竞争的关键工具,它涉及到技术选择、服务模式、市场定位和业务挑战等多个层面,对于推动智慧城市、智慧医疗、智慧交通等领域的发展具有重要意义...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值