某通用型电子采购平台存在任意文件上传漏洞G

#1.仔细研究发现存在一个编辑器存在任意文件上传可导致批量Getshell，影响危害极大。

厂商：

http://www.1caitong.com/ 北京网达信联科技发展有限公司

#2.Getshell漏洞。

/ftb.imagegallery.aspx 可以直接上传asp文件

某通用型电子采购平台存在任意文件上传漏洞G插图

#3.案例测试：

http://eps.gfgt.com/ftb.imagegallery.aspx

某通用型电子采购平台存在任意文件上传漏洞G插图1

某通用型电子采购平台存在任意文件上传漏洞G插图2

http://eps.lomon.com:8008/ftb.imagegallery.aspx

某通用型电子采购平台存在任意文件上传漏洞G插图3

http://ebid.rsm.com.cn:88/ftb.imagegallery.aspx

某通用型电子采购平台存在任意文件上传漏洞G插图4

http://eps.hjgrp.com/ftb.imagegallery.aspx

某通用型电子采购平台存在任意文件上传漏洞G插图5

http://www.bidding-mro.com/ftb.imagegallery.aspx

某通用型电子采购平台存在任意文件上传漏洞G插图6

以上均未近一步测试，shell已经全部删除，点到为止，感谢你的支持与理解！请国家互联网应急中心通报给厂商尽快修复把~

本博客所有文章如无特别注明均为原创。
复制或转载请以超链接形式注明转自起风了，原文地址《某通用型电子采购平台存在任意文件上传漏洞G》