测试版本:智睿多语企业网站管理系统4.1.0
编辑器版本:KindEditor 4.0.3
源码下载地址:http://www.onlinedown.net/special_186247.htm
①注入漏洞
漏洞文件:CnAbout.asp & IncludeBottom.asp
漏洞利用:
-
添加表:zhi_rui_e_manage
-
添加字段:adminname
原因:未过滤
②编辑器拿站
编辑器版本:KindEditor 4.0.3
漏洞利用:KindEditor编辑器上传修改拿shell漏洞
参考:http://www.2cto.com/Article/201207/140017.html
文章来源于lcx.cc:智睿多语企业网站管理系统4.1.0注入漏洞及编辑器拿站漏洞
相关推荐: 狗血吐槽,欢乐贴:求推荐一公司名字……,各种奇葩公司名字~
求推荐一公司名字…… 核攻击 (统治全球,奴役全人类!毁灭任何胆敢阻拦的有机生物!) | 2014-03-18 13:48 吸引人的,过目难忘的 行业定位:网络科技 [原文地址] 各种吐槽: 1# 苦战 | 2014-03-18 13:49 乌云网络科技有限公…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论