VULHUB ™

### 简要描述： 某通用CRM系统任意文件上传 ### 详细说明： 用友旗下的畅捷通CRM http://www.chanjet.com/bencandy.php?fid=41&id=185 如图 [<img src="https://images.seebug.org/upload/201405/16225046b231295388a9770e56fa11443bcc621d.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16225046b231295388a9770e56fa11443bcc621d.jpg) 存在任意文件上传，我们到官方demo站，crm.chanjet.com,发现弱口令 test 111111，成功登入 [<img src="https://images.seebug.org/upload/201405/1622525665c5cf8e820c5a6e6b47a1d0635554b2.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1622525665c5cf8e820c5a6e6b47a1d0635554b2.jpg) 选择产品，看到附件 [<img src="https://images.seebug.org/upload/201405/16225436d3bed66c25b794945a4cbad3eecb1fc8.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16225436d3bed66c25b794945a4cbad3eecb1fc8.jpg) 我们来新建一个附件，直接上传1.php，上传成功，我们来访问下， [<img...

### 简要描述： 某通用CRM系统任意文件上传 ### 详细说明： 用友旗下的畅捷通CRM http://www.chanjet.com/bencandy.php?fid=41&id=185 如图 [<img src="https://images.seebug.org/upload/201405/16225046b231295388a9770e56fa11443bcc621d.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16225046b231295388a9770e56fa11443bcc621d.jpg) 存在任意文件上传，我们到官方demo站，crm.chanjet.com,发现弱口令 test 111111，成功登入 [<img src="https://images.seebug.org/upload/201405/1622525665c5cf8e820c5a6e6b47a1d0635554b2.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1622525665c5cf8e820c5a6e6b47a1d0635554b2.jpg) 选择产品，看到附件 [<img src="https://images.seebug.org/upload/201405/16225436d3bed66c25b794945a4cbad3eecb1fc8.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16225436d3bed66c25b794945a4cbad3eecb1fc8.jpg) 我们来新建一个附件，直接上传1.php，上传成功，我们来访问下， [<img src="https://images.seebug.org/upload/201405/162258327f6238244035712b5d5f0c5567ef4f3a.jpg" alt="111.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/162258327f6238244035712b5d5f0c5567ef4f3a.jpg) [<img src="https://images.seebug.org/upload/201405/1622584653a22ca4317b43373b8b48563529037b.jpg" alt="112.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1622584653a22ca4317b43373b8b48563529037b.jpg) 上传后缀成了php.bak，由于官方使用apache搭建的，存在解析漏洞，所以这个是可以getshell的，并且官方说明书里面也是用apache的。但是万一客户不是使用apache或者将解析漏洞补上怎么办，我们来bypass。我们上传1.2.php，这样就可以绕过php后面加上bak了。 [<img src="https://images.seebug.org/upload/201405/16230225a2848e67f841efd8013ca06d0ffbf728.jpg" alt="113.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16230225a2848e67f841efd8013ca06d0ffbf728.jpg) [<img src="https://images.seebug.org/upload/201405/162302355e6765a50a438eeb471c6792cd96b921.jpg" alt="114.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/162302355e6765a50a438eeb471c6792cd96b921.jpg) ### 漏洞证明： 直接上传php的shell: ``` http://crm.chanjet.com/datacache/org50579/393.php.bak ``` [<img src="https://images.seebug.org/upload/201405/16230423a3d0bb7b18a049ae15d1213dd2503c90.jpg" alt="115.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/16230423a3d0bb7b18a049ae15d1213dd2503c90.jpg) 饶过的shell [<img src="https://images.seebug.org/upload/201405/162302355e6765a50a438eeb471c6792cd96b921.jpg" alt="114.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/162302355e6765a50a438eeb471c6792cd96b921.jpg)