Gbbs微论坛拿shell通杀漏洞

没穿底裤 2020年1月1日03:00:21评论349 views字数 163阅读0分32秒阅读模式
摘要

官方地址:http://www.softatm.com作者:0day5影响版本:已发布的所有版本
漏洞证明:

官方地址:http://www.softatm.com

作者:0day5

影响版本:已发布的所有版本
漏洞证明:

Gbbs微论坛拿shell通杀漏洞

 

漏洞存在文件reg_edit.asp

Gbbs微论坛拿shell通杀漏洞

我们可以看见,这里并没有对后缀做任何限制,导致了可以任意文件上传

我们注册新用户后,进入到管理页面,在修改个人资料那里上传头像即可

Gbbs微论坛拿shell通杀漏洞

Gbbs微论坛拿shell通杀漏洞

修复方案:限制附件文件夹执行权或者自己添加上传过滤限制

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2020年1月1日03:00:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Gbbs微论坛拿shell通杀漏洞https://cn-sec.com/archives/75166.html

发表评论

匿名网友 填写信息