O2OA另一种方式shell
三种组合漏洞
为了防止开发对脚本有改动,先通过任意文件读取查看o2server下的相应脚本内容,新建一个脚本把读取的内容复制粘贴,在脚本里加上自己的命令
通过任意文件上传把脚本再上传替换
通过重启接口重启,然后脚本就会被执行了
前提是上传后没有被系统当作副本来命名为文件-副本 (ˉ▽ˉ;)
声明:
本文章用于学习交流,严禁用于非法操作,出现后果一切自行承担,阅读此文章表示你已同意本声明。
Disclaimer:
This article is for study and communication. It is strictly forbidden to use it for illegal operations. All consequences shall be borne by yourself. Reading this article means that you have agreed to this statement.
