qibo前台getshell

注册个用户,到管理中心,发表文章,CKFINDER上传 你懂得!

上传之后路径为:http://127.0.0.1/upload_Ffiles/ck/images/
关键字:自己动手,丰衣足食

危害:利用上传功能上传一个htm文件,利用一个包含漏洞直接获取shell,无需截断

利用过程:
写一个htm扩展名的文件,内容,当然也可以直接写木马,嘿嘿
在会员中心,发布图片位置,上传, 这里是允许上传htm类型文件的
ͼƬ2
取出文件路径:article//2_20131010221009_n0os7.htm
构造攻击URL:

注意URL最后不要加 .htm
因为代码getTpl 方法会自动追加.htm
ͼƬ1

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录