0x01 漏洞概述
杭州恩软信息技术有限公司(浙大恩特)提供外贸管理软件、外贸客户管理软件等外贸软件,浙大恩特客户资源管理系统是一款针对企业客户资源管理的软件产品。该系统旨在帮助企业高效地管理和利用客户资源,提升销售和市场营销的效果。该系统的MailAction.entphone接口存在文件上传漏洞,恶意攻击者可通过该漏洞上传恶意脚本,最终可导致服务器失陷。
搜索语法
fofa语法查找:app=”浙大恩特客户资源管理系统”
0x02 漏洞复现
登录页面
访问系统抓包,查看响应包中是否回显上传路径
访问返回的文件路径,成功上传。