测试版本:智睿多语企业网站管理系统4.1.0

编辑器版本:KindEditor 4.0.3

源码下载地址:http://www.onlinedown.net/special_186247.htm

①注入漏洞

漏洞文件:\Cn\About.asp   &    \Include\Bottom.asp

漏洞利用:

  1. 添加表:zhi_rui_e_manage
  2. 添加字段:adminname

原因:未过滤

②编辑器拿站

编辑器版本:KindEditor 4.0.3

漏洞利用:KindEditor编辑器上传修改拿shell漏洞

参考:http://www.2cto.com/Article/201207/140017.html

转自:http://www.90sec.org/viewthread.php?tid=3090&extra=page%3D1%26amp%3Borderby%3Ddateline%26amp%3Bfilter%3D2592000