Gbbs微论坛拿shell通杀漏洞

  • A+
所属分类:漏洞时代
摘要

官方地址:http://www.softatm.com作者:0day5影响版本:已发布的所有版本
漏洞证明:

官方地址:http://www.softatm.com

作者:0day5

影响版本:已发布的所有版本
漏洞证明:

Gbbs微论坛拿shell通杀漏洞

 

漏洞存在文件reg_edit.asp

Gbbs微论坛拿shell通杀漏洞

我们可以看见,这里并没有对后缀做任何限制,导致了可以任意文件上传

我们注册新用户后,进入到管理页面,在修改个人资料那里上传头像即可

Gbbs微论坛拿shell通杀漏洞

Gbbs微论坛拿shell通杀漏洞

修复方案:限制附件文件夹执行权或者自己添加上传过滤限制

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: