Gbbs微论坛拿shell通杀漏洞

官方地址:http://www.softatm.com

作者:0day5

影响版本:已发布的所有版本
漏洞证明:

 

漏洞存在文件reg_edit.asp

我们可以看见,这里并没有对后缀做任何限制,导致了可以任意文件上传

我们注册新用户后,进入到管理页面,在修改个人资料那里上传头像即可

修复方案:限制附件文件夹执行权或者自己添加上传过滤限制

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录