懒人工作通OA任意文件上传

true · 发表于 2016-5-30 23:43:31

【转】

前言.也是无意中看到这个工作系统
0x00： http://www.job18.net/
0x01：于是就下载下来看看，

0x02：翻到了“lesktop/Upload.aspx”代码如下

<%@ Page Language="C#" AutoEventWireup="true" Inherits="Upload" %>
<%@ Register Src="Script/SubScript.ascx" TagName="SubScript" TagPrefix="uc1" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<meta http-equiv="X-UA-Compatible" content="IE=EmulateIE8"/><title>无标题页</title>
<uc1:SubScript ID="SubScript1" runat="server" />
<style type="text/css">
html
{
padding: 0px;
margin: 0px;
overflow: hidden;
border: 0px;
}
body
{
padding: 6px;
margin: 0px;
background-color: #EFF0F2;
overflow: hidden;
font-family: 宋体;
font-size: 12px;
border: 0px;
}
#UploadFile
{
width: 100%;
}
#BtnOk
{
font-family: 宋体;
font-size: 12px;
height: 24px;
}
</style>
<script language="javascript" type="text/javascript">
function init() {
var data_str = document.getElementById("data").value;
if (data_str != "") {
var data = Core.Utility.ParseJson(data_str);
if (data.Result) CurrentWindow.GetTag().AfterUpload(data.Path);
else Core.Utility.ShowError(data.Exception.toString());
}
}
//增加图片判断
function BtnOk_onclick() {
if (Core.Params["Type"] != undefined && Core.Params["Type"] == "Img") {
var objFileUpload = document.getElementById('UploadFile'); //FileUpload
var fileName = new String(objFileUpload.value); //文件名
var extension = new String(fileName.substring(fileName.lastIndexOf(".") + 1, fileName.length)); //文件扩展名
if (extension.toUpperCase() == "JPG" || extension.toUpperCase() == "GIF"
|| extension.toUpperCase() == "JPEG" || extension.toUpperCase() == "PMG"
|| extension.toUpperCase() == "PNG" || extension.toUpperCase() == "JPE" || extension.toUpperCase() == "BMP")//你可以添加扩展名
{
}
else {
Core.Utility.ShowWarning("请选择正确的图片格式!正确格式包含(.JPG|.GIF|.JPEG|.PMG|.PNG|.JPE|.BMP)");
return false;
}
}
if (document.getElementById("UploadFile").value == "") {
Core.Utility.ShowWarning("请选择要上传的文件！");
return false;
}
CurrentWindow.Waiting("正在上传文件...");
}
</script>
</head>
<body>
<form id="form1" runat="server">
<div>
<div id="divMsg">
</div>
<br />
<asp:FileUpload ID="UploadFile" runat="server" /></div>
<div style="text-align: right; margin-top: 12px;">
<input id="BtnOk" name="BtnOk" type="submit" value="确定" onclick="return BtnOk_onclick()" /></div>
<input runat="server" type="hidden" id="data" name="data" />
<script>
if (Core.Params["Type"] != undefined && Core.Params["Type"] == "Img") {
if (document.getElementById("divMsg") != undefined)
document.getElementById("divMsg").innerHTML = "图片格式|*.png;*.gif;*.jpg;*.jpeg;*.bmp;*.jpe";
}
</script>
</form>
</body>
</html>

复制代码

0x03：相比看到了那么简单的一个上传漏洞，来看一下案列，话说这个软件的案列藏得可真深。

0x04：那我们跟着案列来到这里；
0x05: . . . . ：8864/Lesktop/Upload.aspx

0x05：这里一般有人会用burp，其实直接审查元素修改上传类型，看代码

<script>
if (Core.Params["Type"] != undefined && Core.Params["Type"] == "Img") {
if (document.getElementById("divMsg") != undefined)
document.getElementById("divMsg").innerHTML = "图片格式|*.png;*.gif;*.aspx;*.jpeg;*.bmp;*.jpe";
}
</script>

复制代码

0x07：测试效果

目前新版本已经修复

zmr123456 · 发表于 2016-5-31 14:16:35

我们的oa就是不能传文件夹，可麻烦了

		自动登录	找回密码
密码			立即注册

[渗透实战] 懒人工作通OA任意文件上传