URP综合教务系统通杀第四弹(补丁绕过&&继续无需登录GETSHELL)

个人认为严格上来说不算补丁绕过,应该是补丁考虑不全,别升级过滤器了…修修业务逻辑代码吧 谢 麻烦转cncert吧还是…厂商偶尔不太靠谱 忽略

详细说明:

上一发拒绝服务也就是这个补丁过滤的地方,厂商14年11月份左右修补的是对 “正常上传”后的文件夹做了文件拓展名白名单,上一发这里还没关闭输出流,升级的时候又把picFile那个过滤漏了 这块已经电联厂家改正了。

直接看下代码吧,主要还是在第一法getshell那里分析的多,厂商并没有修改上传代码。

code 区域
String fileExt=file.getFileExt();
    String realPath=request.getRealPath("/lwUpLoadTemp");
    String fileName=req.getParameter("xh")+"."+fileExt;
    String filePath=realPath+"/"+fileName;
    if(!file.isMissing()){
    	file.saveAs("/lwUpLoadTemp/"+fileName,mySmartUpload.SAVE_VIRTUAL); //fileName
    }
  	String returnStr=TestBean.uploadLwyw(filePath,req);

上段代码中fileName是doPost过来的,在这里没有过滤跨目录符号 ../ 所以还是用之前的表单即可完成上传 也就是

code 区域
file.saveAs("/lwUpLoadTemp/../sss.jsp")

这样绕开了补丁限制,在根目录生成一个shell

  2 3 4

发表评论

电子邮件地址不会被公开。 必填项已用*标注