中国移动某营销数据统计平台任意文件上传可getshell
中国移动大多数的"和xx"应用都有使用这个"用户行为分析与推荐平台"来收集机型、网络、版本等统计数据。ifconfig看到有几十T的流量..
在该平台注册一个帐号。
http://www.cm-analysis.com/
登录后点击右上角的"管理"-"添加应用"。添加logo这里可以上传文件。我们上传一个图片马,用burp拦截并把后缀改成php
上传成功。
地址:http://www.cm-analysis.com/logos/20140309/a41e26b2b0588b31e011d72ea8a84325.php
使用菜刀连接,密码ws。
吓坏了
修复方案:
移动更专业