### 简要描述:
参照下前人的描述:GSiS政务服务平台:首个完全根据国家政策要求全新开发的,支撑政务服务体系和行政权力监督体系融合运转的一体化平台。
存在任意文件上传漏洞,可获取webshell
PS:两$$符啥感觉,给一个爽爽吧~~
### 详细说明:
程序名称:Kingdee GSIS
开发公司:金蝶
漏洞类型:任意文件上传
漏洞文件:/corehttps://images.seebug.org/upload/upload.jsp
关键词:inurl:/kdgs/
收集几个案例,方便测试
```
//判断上传格式
String fileDesc;
String fileExt;
String uploadFileNumber;
if(allowedTypes.equals("image" )|| allowedTypes=="image"){
fileDesc="jpg/gif/jpeg/png/bmp";
fileExt="*.jpg;*.gif;*.jpeg;*.png;*.bmp";
uploadFileNumber="1";
}else{
fileDesc="*";
fileExt="*.*";/////这里是问题所在
uploadFileNumber="10";
}
```
漏洞利用:
①首先注册一个普通用户,登录及注册地址:/kdgs/biz/portal/login/login.action
②访问/kdgs/corehttps://images.seebug.org/upload/upload.jsp ,选择jsp文件,上传抓包,把path的值改为ITEM_PATH提交,即可获得webshell,简单粗暴
实例演示:
###NO.1
首先访问http://******.gov.cn:8080/kdgs/biz/portal/login/login.action
点击注册一个用户,这里我注册的testbye/testtest,登录进去
[<img src="https://images.seebug.org/upload/201410/271900289bd960c933c362823235a7b04ee581de.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/271900289bd960c933c362823235a7b04ee581de.jpg)
直接访问:http://*****.gov.cn:8080/kdgs/corehttps://images.seebug.org/upload/upload.jsp
[<img src="https://images.seebug.org/upload/201410/2719014712fff0a7a96d8aa77eea45e6e3711e93.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2719014712fff0a7a96d8aa77eea45e6e3711e93.jpg)
选择jsp马上传抓包,改path:ITEM_PATH
[<img src="https://images.seebug.org/upload/201410/27190444b239c5b008e3d35ac5e76145a0ee78ba.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/27190444b239c5b008e3d35ac5e76145a0ee78ba.jpg)
在返回值里看shell路径
[<img src="https://images.seebug.org/upload/201410/2719055584aceab9329e8cb0930e1eb8474770f3.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2719055584aceab9329e8cb0930e1eb8474770f3.jpg)
shell路径为:/uploads/item/11e4-5dc8-b4173752-b77d-1335b63918b7.jsp,后面的Jf**.jsp去掉
[<img src="https://images.seebug.org/upload/201410/27190715ec5e8e824449e44d5accf85e0cd7bed6.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/27190715ec5e8e824449e44d5accf85e0cd7bed6.jpg)
####NO.2
步骤和上面一样,注册个用户,登录访问core\upload/upload.jsp
上传抓包改包:
[<img src="https://images.seebug.org/upload/201410/271911040e3ef6d96e3d811cb8d02319426d71d7.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/271911040e3ef6d96e3d811cb8d02319426d71d7.jpg)
返回的shell地址:
[<img src="https://images.seebug.org/upload/201410/27191204dd0c0b0afc49e4a4234a9fc12142aab2.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/27191204dd0c0b0afc49e4a4234a9fc12142aab2.jpg)
shell:
[<img src="https://images.seebug.org/upload/201410/271912441092076be63ddba9c33262d123072a6c.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/271912441092076be63ddba9c33262d123072a6c.jpg)
政府站点,演示证明下就行了,shell已删.. 就不去弄5个站演示了
### 漏洞证明:
如上
京公网安备 11010502034610号
暂无评论