用友协作办公平台getshell(特奇葩且通杀)

### 简要描述： 用友协作办公平台getshell(特奇葩且通杀) ### 详细说明： 重复： [WooYun: 用友某办公平台通用漏洞getshell漫游内网第一弹](http://www.wooyun.org/bugs/wooyun-2014-055067) #1 漏洞文件 /common/uploadFile.jsp [<img src="https://images.seebug.org/upload/201405/141547162b008bdd2c7093287f6f3f9ded35dfa3.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/141547162b008bdd2c7093287f6f3f9ded35dfa3.jpg) 查看源文件,如图 [<img src="https://images.seebug.org/upload/201405/14154822371b340d639b4444143013ad683a70eb.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/14154822371b340d639b4444143013ad683a70eb.jpg) 重点关注这里 ``` "?action=save&savePath=/imageshttps://images.seebug.org/upload/&fileName=14051439450001.jpg" ``` 看见了什么?没错！保存文件的路径 文件名全在这里,是不是觉得特奇葩.. #2 漏洞测试 随便上传一个文件,同时 F12 修改fileName参数为14051439450001.jsp （当然你也可以修改路径），点击提交,奇迹出现了,已成功上传.. OH My God.... ### 漏洞证明： #3 漏洞证明 [<img src="https://images.seebug.org/upload/201405/1415541887b57b8c02a17a5c32fc586147b0c2c8.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201405/1415541887b57b8c02a17a5c32fc586147b0c2c8.jpg)