某管家公章管理系统审计记录
1838200723892824 发表于 广东 WEB安全 2368浏览 · 2025-06-18 02:33

之前这套系统存在认证绕过,后面又重新看了这套代码,发现还存在另一个接口的认证绕过,首先看到有userCreate的路由,请求参数是json解析

image.png


首先进入checkUnamePass方法中,这里需要bimRemoteUser为ZGJ,bimRemotePwd为123456

image.png


这里会将请求的参数orgId带入sql语句进行查询,必须是存在的orgId使departmentList不为空

image.png


后续就是增加用户了,因此目前需要获取到存在的orgId才可以增加用户

image.png


正好发现到一个接口,会返回orgId

image.png


具体复现过程如下:

先发送获取orgId的请求包:

image.png


通过获取到的orgId注册新用户

image.png


后续使用注册的用户登录系统

image.png




接下来就是找getshell接口了,后台的文件上传挺多的,这里找两个进行举例:

image.png


跟进uploadLogo方法中:

可以看到这里调用了Base64StrToImage.base64MutipartFile,将Base64 编码的图像字符串 转换为一个 MultipartFile 类型的对象

image.png


上传内容格式为:

data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAA...

并且上传文件后还会放回文件具体路径:

image.png


复现过程:

image.png




image.png


另一个上传点:

image.png


moudleDir 可以控制要上传到哪个文件夹,跟进addUploadFileWeb方法中,这里文件保存目录是moudleDir和年份月份进行拼接的,这里我传入的moudleDir为/data/upload/因此上传目录地址为:/data/upload/2022/2022-01/2022-01-11/



image.png


image.png


但是文件名命名为:
image.png


因此这里需要爆破文件名,UUID都为eca21ae6-61c3-4fd7-9903-93d7a0eb2166这种格式

image.png


5 条评论
某人
表情
可输入 255
目录