中国网络渗透测试联盟

标题: Web Wiz Rich Text Editor version 3.0 getshell漏洞 [打印本页]
作者: admin    时间: 2012-12-20 08:10
标题: Web Wiz Rich Text Editor version 3.0 getshell漏洞
最近搞国外站时碰到的此款编辑器,记录一下。
7 b8 [% `/ `$ m. k; E7 ?
6 N% |6 v2 m: r; o % |; C( s& @( h, @3 d+ J6 o
地址:http://target/RTE_popup_file_atch.asp
5 P/ g3 w+ o1 L# `1 v
7 W" H% C- p! U+ Z1.可以上传任意文件,虽然未提示上传成功,但是已经上传了。
9 X2 R8 A1 R! n
7 Z$ E' y. j" P+ s# ^; s2.新版本若对上传文件有限制,可以结合web服务器版本利用解析漏洞拿shell,因为对上传文件没有重命名。
2 r% Y9 q3 L5 Q, x 8 A1 q& Z3 P9 D% R' }0 c9 e! M$ K
好了,记录完毕。2 {9 ?" T5 c+ u  v" ?




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2