浏览模式: 标准 | 列表Tag:尘月

尘月网络企业网站管理系统2010生成HTML专业版之上传漏洞

Submitted by admin
2010, April 12, 1:10 PM

From:http://www.st999.cn/blog   久久久电脑工作室

http://forum.daokers.com/    刀客城

源码:

<%
lang=trim(request("case"))
%>
<html>
<head>
<meta http-equiv="Content-Language" content="zh-cn">
<meta name="GENERATOR" content="Microsoft FrontPage 6.0">
<meta name="ProgId" content="FrontPage.Editor.Document">
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<title>上传页面</title>
</head>
<body topmargin="0" leftmargin="0" bgcolor="#D6E0EF">
<form method="POST" action="admin_upcl1.asp?case=<%=lang%>" name="form3" enctype="multipart/form-data">
                <input name="strPhoto" type="file" id="strPhoto" size="12">
  <input type="submit" value="上传预览图片" name="B1"></p>
</form>
</body>
</html>

没有验证用户,可以直接访问,上传格式为x.asp;x.jpg的大马就可以了。。。

只验证本版本,,没有对尘月其他系统版本进行测试。

利用语句:http://127.0.0.1:99/Admin_Cy/adm_uplo1.asp?case=pic1

 

Tags: 尘月, 上传

原创笔记 | 评论:0 | Trackbacks:0 | 阅读:11525