本文共 517 字，大约阅读时间需要 1 分钟。

产品简介

PKPMB-S 建设工程质量监督系统是湖南建研信息技术股份有限公司开发的工程质量检测管理系统，基于 B/S 架构设计，集成了检测信息监管功能，能够有效支持工程质量监督工作。

漏洞概述

系统中存在关键漏洞，具体包括以下接口：

• FileUpOrDown.aspx
• /Platform/System/FileUpload.ashx

这些接口存在任意文件上传漏洞，未经身份认证的攻击者可利用此漏洞上传恶意后门文件，从而获取服务器权限。

影响范围

该漏洞影响系统版本：

• 标准版 ≤ 2.2023.0328.172228

复现环境

FOFA icon_hash: 2001627082

漏洞复现

PoC-1

通过以下步骤可实现漏洞复现：

GET /Login.cshtml HTTP/1.1Host: your-ipUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15Accept-Encoding: gzip