点点书库图书馆系统任意文件上传漏洞

admin

主题:图书馆系统任意文件上传漏洞
+ v: X: q% U7 O作者:冰锋刺客
$ U3 K6 z/ T1 i& G0 c- x厂商:点击书(dianjishu.com)
日期:2012-6-21

/ y4 [6 p( m+ ~5 II 概述
' r" G" Q- M; A" [2 y   点点书库图书馆系统存在任意文件上传漏洞，导致可以直接拿webshell
II 简介
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
! W8 B8 X' a5 N  N& Ohttp://img.hake.cc/forum/201206/22/144055kjm1pphpkpp9dzo1.jpg
0 a  E7 \1 K$ u9 E$ W, Z: H1 [8 Z上传点 http://target.com/admin/modules/advertise/html/index.html
' l( [0 L2 w( x  L% Y  j; q
, _  x2 o* \2 b0 M# [http://img.hake.cc/forum/201206/22/144058y0qlb4p544wyvpjj.jpg
2 z! ?  }8 D& X+ M% ?8 P5 [查看网页源码，得到webshell路径：
3 e& c+ A* }+ J2 C7 r  X3 E    http://target.com/TempFolder/Upl ... a-d96d2912dd82.aspx
* t0 _% @: ?% x- O# t, l$ o