披露状态:
2014-05-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
网狐6603棋牌网站程序是目前棋牌主流程序,网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限
详细说明:
网狐6603棋牌程序 百度:gamerules.aspx?KindID=
基本都是网狐6603的程序
随便找一个
查看这个图片的路径URL
这个就是后台地址
好吧 主要的内容在这 上传 http://www.game69.cn:888/tools/filesupload.aspx
就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传
漏洞证明:
修复方案:
登录后上传
版权声明:转载请注明来源 路人甲
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝
漏洞评价:
对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
① 本网站名称及网址:八爷资源网 | www.8ye.vip ② 本网站资源来源于网络收集,如有侵权,请联系站长进行删除处理。 ③ 分享目的仅供大家学习和交流,请不要用于商业用途,否则后果自负。 ④ 如果你也有好源码或者教程,可以联系小编,有钻石奖励和额外收入。 ⑤ 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解。 ⑥ 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需。 ⑦ 本站资源大多存储在云盘,如发现链接失效,请联系客服,我们会第一时间更新。
八爷资源网 » 网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情
八爷资源网 » 网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情
