金蝶OA系统在web.xml中配置了一个servlet Connector,是基于旧版本的fckeditor,存在任意文件上传漏洞,配置如下:
com.fredck.FCKeditor.connector.ConnectorServlet.class反编译出主要代码如下:
当Command参数为FileUpload时进行上传,最终服务器上生成的pathToSave文件名,由上传文件路径获得:
可以看到整个过程是没有过滤后缀的。
直接本地构造一个上传页面即可上传:
得到webshell如下:
http://202.104.120.18:7890/oa/uploadfiles/File/testabc.jsp
金蝶官方协同办公系统测试地址:
搜索引擎中记录的,有些已经被getshell了: