Gbbs微论坛拿shell通杀漏洞

官方地址:http://www.softatm.com 作者:0day5 影响版本:已发布的所有版本 漏洞证明:   漏洞存在文件reg_edit.asp 我们可以看见,这里并没有对后缀做任何限制,导致了可以任意文件上传 我们注册新用户后,进入到管理页面,在修改个人资料那里上传头像即可 修复方案:限制附件文件夹执行权或者自己添加上传过滤限制

发表评论