VULHUB ™

### 简要描述： 参照下前人的描述：GSiS政务服务平台：首个完全根据国家政策要求全新开发的，支撑政务服务体系和行政权力监督体系融合运转的一体化平台。 存在任意文件上传漏洞，可获取webshell PS：两$$符啥感觉，给一个爽爽吧~~ ### 详细说明： 程序名称：Kingdee GSIS 开发公司：金蝶 漏洞类型：任意文件上传 漏洞文件：/corehttps://images.seebug.org/upload/upload.jsp 关键词：inurl:/kdgs/ 收集几个案例，方便测试 ``` //判断上传格式 String fileDesc; String fileExt; String uploadFileNumber; if(allowedTypes.equals("image" )|| allowedTypes=="image"){ fileDesc="jpg/gif/jpeg/png/bmp"; fileExt="*.jpg;*.gif;*.jpeg;*.png;*.bmp"; uploadFileNumber="1"; }else{ fileDesc="*"; fileExt="*.*";/////这里是问题所在 uploadFileNumber="10"; } ``` 漏洞利用： ①首先注册一个普通用户，登录及注册地址：/kdgs/biz/portal/login/login.action ②访问/kdgs/corehttps://images.seebug.org/upload/upload.jsp ，选择jsp文件，上传抓包，把path的值改为ITEM_PATH提交，即可获得webshell,简单粗暴 实例演示： ###NO.1 首先访问http://******.gov.cn:8080/kdgs/biz/portal/login/login.action 点击注册一个用户，这里我注册的testbye/testtest，登录进去 [<img src="https://images.seebug.org/upload/201410/271900289bd960c933c362823235a7b04ee581de.jpg" alt="1.jpg" width="600"...

### 简要描述： 参照下前人的描述：GSiS政务服务平台：首个完全根据国家政策要求全新开发的，支撑政务服务体系和行政权力监督体系融合运转的一体化平台。 存在任意文件上传漏洞，可获取webshell PS：两$$符啥感觉，给一个爽爽吧~~ ### 详细说明： 程序名称：Kingdee GSIS 开发公司：金蝶 漏洞类型：任意文件上传 漏洞文件：/corehttps://images.seebug.org/upload/upload.jsp 关键词：inurl:/kdgs/ 收集几个案例，方便测试 ``` //判断上传格式 String fileDesc; String fileExt; String uploadFileNumber; if(allowedTypes.equals("image" )|| allowedTypes=="image"){ fileDesc="jpg/gif/jpeg/png/bmp"; fileExt="*.jpg;*.gif;*.jpeg;*.png;*.bmp"; uploadFileNumber="1"; }else{ fileDesc="*"; fileExt="*.*";/////这里是问题所在 uploadFileNumber="10"; } ``` 漏洞利用： ①首先注册一个普通用户，登录及注册地址：/kdgs/biz/portal/login/login.action ②访问/kdgs/corehttps://images.seebug.org/upload/upload.jsp ，选择jsp文件，上传抓包，把path的值改为ITEM_PATH提交，即可获得webshell,简单粗暴 实例演示： ###NO.1 首先访问http://******.gov.cn:8080/kdgs/biz/portal/login/login.action 点击注册一个用户，这里我注册的testbye/testtest，登录进去 [<img src="https://images.seebug.org/upload/201410/271900289bd960c933c362823235a7b04ee581de.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/271900289bd960c933c362823235a7b04ee581de.jpg) 直接访问:http://*****.gov.cn:8080/kdgs/corehttps://images.seebug.org/upload/upload.jsp [<img src="https://images.seebug.org/upload/201410/2719014712fff0a7a96d8aa77eea45e6e3711e93.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2719014712fff0a7a96d8aa77eea45e6e3711e93.jpg) 选择jsp马上传抓包，改path:ITEM_PATH [<img src="https://images.seebug.org/upload/201410/27190444b239c5b008e3d35ac5e76145a0ee78ba.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/27190444b239c5b008e3d35ac5e76145a0ee78ba.jpg) 在返回值里看shell路径 [<img src="https://images.seebug.org/upload/201410/2719055584aceab9329e8cb0930e1eb8474770f3.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/2719055584aceab9329e8cb0930e1eb8474770f3.jpg) shell路径为：/uploads/item/11e4-5dc8-b4173752-b77d-1335b63918b7.jsp，后面的Jf**.jsp去掉 [<img src="https://images.seebug.org/upload/201410/27190715ec5e8e824449e44d5accf85e0cd7bed6.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/27190715ec5e8e824449e44d5accf85e0cd7bed6.jpg) ####NO.2 步骤和上面一样，注册个用户，登录访问core\upload/upload.jsp 上传抓包改包： [<img src="https://images.seebug.org/upload/201410/271911040e3ef6d96e3d811cb8d02319426d71d7.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/271911040e3ef6d96e3d811cb8d02319426d71d7.jpg) 返回的shell地址： [<img src="https://images.seebug.org/upload/201410/27191204dd0c0b0afc49e4a4234a9fc12142aab2.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/27191204dd0c0b0afc49e4a4234a9fc12142aab2.jpg) shell： [<img src="https://images.seebug.org/upload/201410/271912441092076be63ddba9c33262d123072a6c.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/271912441092076be63ddba9c33262d123072a6c.jpg) 政府站点，演示证明下就行了，shell已删.. 就不去弄5个站演示了 ### 漏洞证明： 如上