FTBBS3.5上传类型添加严正不严漏洞
|
大家好我是童童
第一次写文章不好的地方大家见谅...~嘿嘿
FTBBS3.5版我在测试跨站脚本的时候又发现了个漏洞
就是上传类型添加严正不严~几乎就是没验证啦~呵呵
咱们看看 http://127.0.0.1/ftbbsasp3/bbsadmin/sztype.asp
这里是个截图
图片1 
大家看到了吧~进入后直接可以看到设置的信息了
没做任何严正这个漏洞是相当严重的!因为这里可以添加asp的格式
我们可以直接用这个漏洞上传我们的马
咱们添加个ASP格式 点提交
截图2
直接设置完成了
咱们到前台注册个用户上传ASP后门
大家看看
截图3
多了一个asp类型的图片
我们上传试试
上传成功了多了一个附件
咱们打开附件后可以很清楚的看到我们的马马
截图5
|
|
|
|
Trackback: http://tb.donews.net/TrackBack.aspx?PostId=640215