By:qingshu
KesionCMS 科汛网站管理系统 V7.0 0day,通杀KesionCMS v7.0版本,利用条件必须基于iis7.0架设。(有点鸡肋)!!!
第一步:注册用户:
http://www.xxoo.com/?do=reg
第二步:访问相册直接点批量上传伪造好的jpg一句话(不要选择图片库里面上传):
http://www.xxoo.com/user/User_Photo.asp?Action=Add
第三步:利用iis7.0解析漏洞拿下shell。
鬼哥:
这算0day..大黑阔...IIS7解析。。。。那dz的我也有0day 有点鸡肋 前提需要老版本nginx
qingshu:
kesioncms只有这一处没有判断非法文件内容。怎么不能算漏洞?只是利用起来有点鸡肋。
留言评论(旧系统):