某通用教育系统任意文件上传+代码分析

系统:盈动信息发布系统
问题文件:/Admin/WebUpload.aspx
代码分析:
该系统在admin目录中已经建立了web.config并且限制了用户访问
但是代码如下:

却允许部分页面可访问
既然可访问那就看WebUpload.aspx的代码

利用方式:
http://www.jgedu.net/Admin/WebUpload.aspx
选择要上传的文件,“确定”
上传完毕F12查看页面代码即可得到shell
如果遇到上传完毕页面关闭之类的问题请将浏览器JavaScript禁用之后再上传 如下图
2

1

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录