智慧校园管理系统 前台任意文件上传漏洞

最新推荐文章于 2024-08-27 09:54:18 发布
最新推荐文章于 2024-08-27 09:54:18 发布
阅读量4.5k 收藏 7
点赞数
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 文章标签: 安全漏洞 apache dashboard
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_35938621/article/details/123884159
本文详细介绍了智慧校园管理系统中存在的一个严重安全漏洞,即前台注册页面允许未经审查的文件上传,可能导致恶意文件控制服务器。文章涵盖漏洞描述、影响范围、复现步骤,并提供了作者的个人博客链接供进一步交流。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述

智慧校园管理系统前台注册页面存在文件上传,由于没有对上传的文件进行审查导致可上传恶意文件控制服务器

漏洞影响

s ✅智慧校园管理系统

空间测绘

d ⭕body="DC_Login/QYSignUp"

漏洞复现

  • ✅企业注册界面存在漏洞

image-20220331212914459

  • 上传附件

image-20220331212945236

  • 上传一个冰蝎马

image-20220331213016121

  • 会有返回路径

image-20220331213038028

  • 连接地址

image-20220331213111336

个人博客

孤桜懶契:https://gylq.gitee.io/time

最低0.47元/天 解锁文章

200万优质内容无限畅学
智慧校园信息管理系统存在任意文件上传漏洞
千寻的博客
07-22 558
智慧校园信息管理系统PSE`存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
智慧校园管理系统前台任意文件上传
「我唯一会的和擅长的只有网络安全,如果我不能在我最擅长的事情上取得成功,那么我根本不知道,我的人生还有什么意义。」
07-10 424
如果沉醉满足于自己以往的历史就无异于生命大限的终临,人生旅程时刻处于“零公里”处。那么,要旨仍然应该是首先战胜自己,并将精神提升到不断发展着的生活所要求的那种高度,才有可能使自己重新走出洼地,亦步亦趋跟着生活进入新的境界。不管实际结果如何,这个起码的觉悟应当具备。
新中新中小学智慧校园信息管理系统PSE存在任意文件上传漏洞
xiaokp7的博客
07-24 264
新中新华科电子有限公司是新中新集团旗下主营智慧校园智慧餐饮、智慧政企领域的产业公司,集自有产品研发、生产制造、全国营销、系统集成、云化运营、运维服务为一体,为广大客户提供完整的解决方案和自主知识产权产品,是国内领先的校园一卡通系统解决方案供应商,在一卡通领域拥有多年的技术优势与经验积累,全国拥有众多双一流、985/211高校用户,还拥有大量K12用户及企业、事业单位客户。新中新中小学智慧校园信息管理系统PSE存在任意文件上传漏洞,攻击者可通过该漏洞获取服务器权限。
漏洞复现】智慧校园(安校易)管理系统任意文件上传
最新发布
记录开发和安全学习过程中的点点滴滴
08-27 937
银达云创公司智慧校园(安校易)管理系统存在文件上传漏洞 免责声明博文中涉及的方法可能带有危害性,仅供安全研究与教学之用,读者将其方法用作做其他用途,由读者承担全部法律及连带责任,文章作者不负任何责任。
漏洞复现】某小学智慧校园信息管理系统——/PSE/Upload——文件上传
LongL_GuYu的博客
07-25 1386
某小学智慧校园信息管理系统 `/PSE/Upload` 接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个 web 服务器。
新开普智慧校园系统RCE漏洞
holyxp的博客
07-12 1921
​新开普智慧校园体系基于业务、数据双中台理念,建立共享开放能力平台,实现能力开放和服务与数据的全生命周期治理;基于一云多端,混合云服务模式,覆盖管理、生活、教学、科研和社会化服务全场景,让师生随时随地获得资源和服务;围绕按主题建设,按场景上线,以评促建,可持续发展的路径,渐进建设全业务应用场景,让智慧校园建设更简单。
1day未公开 智慧校园安校易管理系统FileUpAd任意文件上传漏洞
weixin_43167326的博客
08-14 836
"安校易"以物联网技术为基础,以学生在校"学食住行"管理为中心,将消费管理、门禁管理、各类学生出入管理、家校互通、校门口进出身份识别等系统进行集成,有效减少校园管理盲点,提升校园安全防范与管理水平。同时,"安校易"又以大数据、人脸识别技和移动互联网为核心技术,以"安全·安心·沟通"为核心诉求,在教育局、学校、家长之间构建一个和谐高效和智慧的沟通互动平台,促进教育合力和智慧教育生态体系成型,做到让学校管理安全、让老师管理快捷、让领导科学决策和让家长安心放心。
[漏洞复现]正方数字化校园平台存在任意文件上传漏洞
LiangYueSec的博客
07-12 2677
[漏洞复现]正方数字化校园平台存在任意文件上传漏洞
漏洞复现】锐捷RG-UAC统一上网行为管理系统信息泄露漏洞
晚风不及你
01-08 1102
锐捷网络成立于2000年1月,原名实达网络,2003年更名,自成立以来,一直扎根行业,深入场景进行解决方案设计和创新,并利用云计算、SDN、移动互联、大数据、物联网、AI等新技术为各行业用户提供场景化的数字解决方案,助力全行业数字化转型升级。
智慧校园(安校易)管理系统 FileUpProductupdate.aspx 任意文件上传漏洞复现
0xSec
05-24 1169
智慧校园(安校易)管理系统 FileUpProductupdate.aspx 接口处存在任意文件上传漏洞,未经身份验证的攻击者通过漏洞上传恶意后门文件,执行任意代码,从而获取到服务器权限。
mysql文件上传漏洞_finecms前台任意文件上传漏洞 | CN-SEC 中文网
weixin_39954464的博客
01-27 342
摘要FineCMS(简称免费版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,FineCMS(简称免费版或公益版)是一款基于PHP+MySql+CI框架开发的高效简洁的中小型内容管理系统,这次的漏洞出现在前台头像上传的地方存在任意文件上传public function upload() { // 创建图片存储文件夹 $dir = SYS_UP...
大华智慧园区综合管理平台任意文件上传漏洞
xiaokp7的博客
07-30 1382
智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。大华智慧园区综合管理平台存在文件上传漏洞,攻击者可以通过请求/emap/devicePoint_addImgIco接口任意上传文件,导致系统被攻击与控制。
大华智慧园区综合管理平台publishing任意文件上传漏洞
xiaokp7的博客
09-07 510
大华智慧园区综合管理平台是一个集智能化、信息化、网络化、安全化为一体的智慧园区管理平台,旨在为园区提供一站式解决方案,包括安防、能源管理、环境监测、人员管理、停车管理等多个方面。大华智慧园区综合管理平台存在文件上传漏洞,攻击者可以通过请求publishing/publishing/material/file/video接口任意上传文件,导致系统被攻击与控制。
漏洞复现】大华智慧园区综合管理平台前台任意文件上传漏洞
李火火的安全圈
09-13 1002
大华智慧园区综合管理平台是由大华技术股份有限公司(Dahua Technology)开发的一款综合管理解决方案。该平台旨在帮助园区管理者提高管理效率、提升安全水平、优化资源利用,并实现智能化的园区运营。大华智慧园区综合管理平台采用模块化设计和开放式架构,可根据不同园区的需求进行定制和扩展。同时,它还支持云端部署和移动端访问,方便管理者随时随地监控园区运营情况。大华智慧园区综合管理平台存在前台任意文件上传漏洞,攻击者可通过特定Payload获取服务器敏感信息,进而获取服务器控制权限。
​大华智慧园区综合管理平台存在任意文件上传漏洞getshell
失心少年
07-19 1189
大华智慧园区综合管理平台是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上。
大华智慧园区综合管理平台任意文件上传[附POC]
Liyu_6618的博客
02-01 788
拒绝知识星球付费POC免责声明:本文章仅用于信息安全防御技术分享,因用于其他用途而产生不良后果,作者不承担任何法律责任,请严格遵循中华人民共和国相关法律法规,禁止做一切违法犯罪行为。
大华智慧园区综合管理平台RCE漏洞
holyxp的博客
07-17 2443
大华智慧园区综合管理平台”是一款综合管理平台,具备园区运营、资源调配和智能服务等功能。平台意在协助优化园区资源分配,满足多元化的管理需求,同时通过提供智能服务,增强使用体验。​ 大华智慧园区设备开放了文件上传功能,但未在上传的文件类型、大小、格式、路径等方面进行严格的限制和过滤,导致攻击者可以通过构造恶意文件并上传到设备上,然后利用该漏洞获取权限并执行任意命令。
【附poc】新中新中小学智慧校园信息管理系统存在SQL注入漏洞
jijisaq的博客
05-05 1375
新中新中小学智慧校园信息管理系统介绍:新中新利用云服务技术同时借鉴互联网+模式,围绕基础教育信息化、智慧化建设,把线下业务和线上业务结合,为教育主管部门、校园管理者、教师、学生以及家长提供具有教务管理功能的平台化、移动化的应用系统——中小学智慧校园信息管理系统。由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号及作者不为此承担任何责任,一旦造成后果请自行承担!使用布尔盲注进行验证(文末获取poc)「你即将失去如下所有学习变强机会」sqlmap语法获取。
中小学智慧校园信息管理系统 /PSE/Upload 文件上传漏洞复现
0xSec
07-17 1048
中小学智慧校园信息管理系统 /PSE/Upload 接口处存在任意文件上传漏洞,未经身份攻击者可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。
SSM智慧校园管理系统完整项目源码
资源摘要信息:"基于SSM智慧校园管理系统项目源码(本科毕设).zip" 项目标题:“基于SSM智慧校园管理系统项目源码(本科毕设)” 项目描述: 该项目是一个本科毕业设计项目,采用Java语言编写,并使用SSM框架构建,即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孤桜懶契

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值