正方某系统通用型命令执行漏洞(多案例)

2014-09-19T00:00:00
ID SSV:96179
Type seebug
Reporter Root
Modified 2014-09-19T00:00:00

Description

简要描述:

通用型。

详细说明:

涉及系统是正方软件股份有限公司的人力资源管理系统。 部分案例列举如下: http://rczp.tyut.edu.cn/xtgl/index_sessionOut.html http://202.202.160.39:8021/zftal-hrm/xtgl/login_loginpage.html http://ywxt.suoyuan.com.cn/zftal-hrm/xtgl/login_loginpage.html http://hr.tjtc.edu.cn/zftal-hrm/xtgl/login_loginpage.html http://zp.shafc.edu.cn/xtgl/login_loginpage.html http://rs.wtc.edu.cn:8021/zftal-hrm/xtgl/login_loginpage.html

漏洞证明:

都可直接上传马 从而获取老师、学生的信息

<img src="https://images.seebug.org/upload/201409/1913055180b34bf161d2c7102f24e85e79b1e943.png" alt="1.png" width="600" onerror="javascript:errimg(this);">

<img src="https://images.seebug.org/upload/201409/191306000657221598ed2e4f77afae87f6b13ec2.png" alt="2.png" width="600" onerror="javascript:errimg(this);">