漏洞描述
湖南建研信息工程质量检测系统 文件上传致RCE,攻击者可通过此漏洞上传恶意脚本文件,对服务器的正常运行造成安全威胁!
漏洞复现
1、语法
fofa:https://fofa.info/
body="/Content/Theme/Standard/webSite/login.css"
零零信安:https://0.zone/
(html_banner==/Content/Theme/Standard/webSite/login.css)
2、部分界面如下
漏洞复现(poc文末获取)
利用File.cshtml 接口将文件转换为asp文件
验证
修复建议
1、请联系厂商进行修复。
2、如非必要,禁止公网访问该系统。
3、设置白名单访问。
公众号:【吉吉说安全】,对我发消息【20240501】免费获取」
「你即将失去如下所有学习变强机会」
学习效率低,学不到实战内容,花几千、上万报机构没有性价比
一顿自助钱,我承诺一定让用户满意,也希望用户能给予我一份信任
【详情下方图片了解】,【扫下方二维码加入】:只做高质量优质精品内容」
现在圈子已经有150+师傅相信并选择加入我们,人数满199人将涨价,老用户可永久享受初始加入价格,圈子内容持续更新中
免责声明
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
