### 0x01 漏洞概述
相关厂商: 泛微OA
官方主页: http://www.weaver.com.cn/
公开时间: 2015-11-25
漏洞类型: 非授权访问/权限绕过
无需登录上传文件。
http://localhost:8088/sysinterface/codeEdit.jsp?filename=******5308.java&filetype=java
filename为文件名称 为空时会自动创建。
### 0x02 漏洞利用
代码详情
```
String fileid = "Ewv";
String readonly = "";
boolean isCreate = false;
if(StringHelper.isEmpty(fileName)) {
Date ndate = new Date();
SimpleDateFormat sf = new SimpleDateFormat("yyyyMMddHHmmss");
String datetime = sf.format(ndate);
fileid = fileid + datetime;
fileName= fileid + "." + filetype;
isCreate = true;
} else {
int pointIndex = fileName.indexOf(".");
if(pointIndex > -1) {
fileid = fileName.substring(0,pointIndex);
}
}
```
filetype为文件类型
![](https://images.seebug.org/contribute/3ebe2895-8c04-40f6-98a2-9f0b06493cca-2016-01-20 11_23_32.jpg)
当filename文件存在时
直接打开
不存在时
会创建一个
点击提交会保存
当然也可以直接写入jsp文件
访问如下链接
http://localhost:8088/sysinterface/codeEdit.jsp?filename=ccccc.jsp&filetype=jsp
![](https://images.seebug.org/contribute/07a79854-36b0-4453-bd6c-2713b4c029bb-2016-01-20 11_24_13.jpg)
将内容替换为jsp马
![](https://images.seebug.org/contribute/ecb96bb3-f36e-4ec0-93db-61fec1045720-2016-01-20 11_24_40.jpg)
提交即可
![](https://images.seebug.org/contribute/0f8cd799-7c22-49bb-bd3b-84204c39663e-2016-01-20 11_25_06.jpg)
![](https://images.seebug.org/contribute/47ad0ba9-5255-464a-a620-5fbec04123a0-2016-01-20 11_25_23.jpg)
访问http://localhost:8088/sysinterface/extpage/ccccc.jsp
![](https://images.seebug.org/contribute/5589aa5c-cbd4-491c-9da0-13a3dc6fa828-2016-01-20 11_25_54.jpg)
### 0x03 参考链接
http://www.wooyun.org/bugs/wooyun-2015-0155705
Unavailable Comments