优卡特脸爱云管理系统存在文件上传漏洞(5月9日更新)
优卡特脸爱云管理系统存在文件上传漏洞(5月9日更新)
jidle123 网络安全者 2024-05-12 22:14
===================================
免责声明请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。工具来自网络,安全性自测,如有侵权请联系删除。
0x01 工具介绍
脸爱云是一款智慧点餐管理平台,
该平台 /UpLoadPic.ashx接口处存在文件上传漏洞。
0x02 安装与使用
一、资产测绘
FOFA:title=="欢迎使用脸爱云 一脸通智慧管理平台"
Zoomeye:title:"欢迎使用脸爱云 一脸通智慧管理平台"
二、参数使用
python -u http://target_ip/Login.aspx
python -f file.txt
三、使用原理
对指定ip上传post报文构造aspx文件,并通过脚本内response.write写入数据,如若想写入其他数据,请自行修改该行。如果上传成功,则返回存在漏洞,请自行进行后续测试。
四、使用结果
- 命令输入
- 后续验证
文件上传测试如下:
文件访问存在:
0x03 下载链接
1、通过阅读原文,到项目地址下载
2、
网盘下载
链接:https://pan.quark.cn/s/fb8f1872683f