上面是面哥发的,自己看了下源码,发现有上传的地方基本都是调用smartUpload的javabean。于是顺手找了下剩下的上传点。
特征代码
有部分使用apache fileupload组件的但是通用性不强就不说了。
\defaultroot\customize\upload.jsp (需截断doc)
\defaultroot\information_manager\informationmanager_upload.jsp (无限制直接上传)
\defaultroot\work_flow\workflow_upload.jsp (无过滤,报错前已经执行成功,鸡肋未返回文件名可以根据时间暴力采集)
\defaultroot\dragpage_department\upload.jsp (需截断jpg)
\defaultroot\skin\5\dragpage_department\upload.jsp (需截断jpg)
\defaultroot\information_manager\产品-信息管理UTF-8-2009--8.21.1\defaultroot\information_manager\information_smartUpload.jsp(通用性不强,无过滤)
\defaultroot\dossier\dossier_import.jsp
代码大致就分一种无过滤的,直接可以上传shell。
另一种就是有过滤的,但是可以用截断绕过
部分证明如下图。