测试版本:智睿多语企业网站管理系统4.1.0
编辑器版本:KindEditor 4.0.3
源码下载地址:
①注入漏洞
漏洞文件:\Cn\About.asp & \Include\Bottom.asp
漏洞利用:
添加表:zhi_rui_e_manage
添加字段:adminname
原因:未过滤
②编辑器拿站
编辑器版本:KindEditor 4.0.3
漏洞利用:KindEditor编辑器上传修改拿shell漏洞
参考:
from:90sec.org
,www.xuhantao.com,涛涛电脑知识网