当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0115088

漏洞标题:职航在线任意上传漏洞

相关厂商:职航在线

漏洞作者: 路人甲

提交时间:2015-05-20 12:36

修复时间:2015-07-04 12:38

公开时间:2015-07-04 12:38

漏洞类型:

危害等级:低

自评Rank:3

漏洞状态:未联系到厂商或者厂商积极忽略

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-05-20: 积极联系厂商并且等待厂商认领中,细节不对外公开
2015-07-04: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

头像,文档,任意上传文件。各种大马小马来来来。

详细说明:

在这个网页上http://nju.fitoo.com/Match/jiangsu/apply.aspx随意注册一个账号(邮箱验证),信息随便填写,那就用强大的163邮箱呗。

图片1.png


链接可以看出加了地址识别功能,知道在哪个地方。

图片2.png


接下随便注册了,这个验证机制就是对学号中的特殊字符做了限制功能,其他随意。

图片3.png


然后随便上传文件参加所谓的比赛啦,我就会这个,来来来,服务器在召唤你。

图片4.png


漏洞证明:

然后随便上传文件参加所谓的比赛啦,我就会这个,来来来,服务器在召唤你。

图片5.png


竟然上传成功了,但是不知道如何找到这个文件,找其他亮点吧。

图片6.png


竟然上传成功了,但是不知道如何找到这个文件,找其他亮点吧。

图片7.png


bingo,excellent!!!

图片9.png


图片10.jpg


数据库没连接上,甚是郁闷!!!,就到这吧。

修复方案:

对格式进行验证

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝