点点书库图书馆系统任意文件上传漏洞

admin

主题:图书馆系统任意文件上传漏洞
作者:冰锋刺客
, J( U. M+ m4 H' `8 y% U厂商:点击书(dianjishu.com)
日期:2012-6-21

* ?8 C  d/ k5 K0 k: R. p- TI 概述
+ o8 {$ A5 i" _8 Z6 i   点点书库图书馆系统存在任意文件上传漏洞，导致可以直接拿webshell
II 简介
   关键词:"Copyright (C) 点点电子书库 2009-2010, All Rights Reserved"
+ q" x- o" a0 }1 Y% [9 ihttp://img.hake.cc/forum/201206/22/144055kjm1pphpkpp9dzo1.jpg
上传点 http://target.com/admin/modules/advertise/html/index.html
4 G; P8 e: O% M( O5 t
' o) K! _% a- Whttp://img.hake.cc/forum/201206/22/144058y0qlb4p544wyvpjj.jpg
& X8 u* T! |& l: D# C查看网页源码，得到webshell路径：
$ b) A! _6 j9 [    http://target.com/TempFolder/Upl ... a-d96d2912dd82.aspx