最近搞国外站时碰到的此款编辑器,记录一下。. T" K9 K; j* d6 L6 X- a
* V: `5 D1 j' @# t; z
4 c( w- d; h9 A2 f" Z& l地址:http://target/RTE_popup_file_atch.asp
( }" L' C+ h) o- D. u1 I + `5 U$ U' o$ }
1.可以上传任意文件,虽然未提示上传成功,但是已经上传了。" q$ E% ~, U* Z! U2 S
5 f! W7 R1 y/ \& O% H4 W1 D' J
2.新版本若对上传文件有限制,可以结合web服务器版本利用解析漏洞拿shell,因为对上传文件没有重命名。 B* u# w8 M$ J% [
; o% Y% g6 f5 f- F- n& Q. r% I
好了,记录完毕。
$ z/ {& n& [! R( ?( Y) u |
发表于 2012-12-20 08:10:53
收藏
支持
反对