网狐6603棋牌网站程序后台部分任意文件上传漏洞

自助开通VIP,整站资源任意下载

漏洞标题 网狐6603棋牌网站程序后台部分任意文件上传漏洞 相关厂商 网狐 漏洞作者 路人甲 提交时间 2014-05-11 11:55 公开时间 2014-08-09 11:56 漏洞类型 账户体系控制不严 危害等级 中 自评Rank 5 漏洞状态 未联系到厂商或者厂商积极忽略 Tags标签 漏洞详情

网狐6603棋牌程序 百度:gamerules.aspx?KindID=


网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第1张

基本都是网狐6603的程序

随便找一个


网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第2张

查看这个图片的路径URL


网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第3张

这个就是后台地址


网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第4张

好吧 主要的内容在这 上传 http://www.game69.cn:888/tools/filesupload.aspx


网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第5张

就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传


网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第6张

网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第7张
漏洞证明: 
网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第8张

网狐6603棋牌网站程序后台部分任意文件上传漏洞 后台 网站 网狐6603 技术文章  第9张
修复方案:

登录后上传


① 本网站名称及网址:速群资源分享网 | www.suqun.net
② 本网站资源来源于网络收集,如有侵权,请联系站长进行删除处理。
③ 分享目的仅供大家学习和交流,请不要用于商业用途,否则后果自负。
④ 如果你也有好源码或者教程,可以联系小编,有钻石奖励和额外收入。
⑤ 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解。
⑥ 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需。
⑦ 本站资源大多存储在云盘,如发现链接失效,请联系客服,我们会第一时间更新。
速群棋牌源码网 » 网狐6603棋牌网站程序后台部分任意文件上传漏洞

发表评论

欢迎 访客 发表评论

VIP会员尊享专属特权,真正的海量,无套路,无限量下载!

游戏演示 联系客服