-
-
[分享]建站系统爆后台上传漏洞利用方法
-
发表于:
2010-5-31 17:27
3145
-
建站系统爆后台上传漏洞利用方法
前几天,奄奄一息淫人说发现了一个自助建站系统的上传突破限制,可以上传jpg格式的马,可以利用构造语句上传,也可以进入后台上传!什么系统忘记了,貌似使用的人不是很多!
他不知道研究了几天,关键字没搞出来,今天我试着构造关键字,没想到还真成功了···
关键字:inurl:syWebEditor 很多都可以利用爆出素材库上传地址!!可以直接上传jpg格式的马儿!
上传利用语句:syWebEditor/Sel_UploadFile.asp?obj=ProPhoto&fileType=gif|jpg|png|&filePathType=1&filePath=/PhotoFile/ProFile/
上传上的图片地址呢,如果不变动就是www.xxx.com/PhotoFile/ProFile/马的名字
在这里有一个“根据当前时间自动命名”,这个可以自选!!
很简单,就拿到了shell
有兴趣的同行兄弟加 qq 357631209
[课程]Android-CTF解题方法汇总!