记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

福建省福利彩票某平台任意文件上传Getshell

2015-05-29 05:55

目标地址:http://61.154.14.93:8080

fck地址:http://61.154.14.93:8080/FCKeditor/editor/fckeditor.html



1#大量帐号弱口令

000 |123456|

001 |123456|

002 |123456|

003 |123456|

004 |123456|

006 |123456|

011 |123456|

012 |123456|

016 |123456|

018 |123456|

019 |123456|

021 |123456|

023 |123456|

027 |123456|

028 |123456|

029 |123456|

030 |123456|

032 |123456|

037 |123456|

040 |123456|

050 |123456|

055 |123456|

056 |123456|

068 |123456|

071 |123456|

072 |123456|

073 |123456|

091 |123456|

以上只列举出部分

2#写权限

QQ截图20150407110159.png



QQ截图20150407110258.png



具体通过写权限拿shell不多说

3#fck编辑器无限制任意上传

QQ截图20150407110851.png



无上传限制

QQ截图20150407111013.png



一句话地址:http://61.154.14.93:8080/userfiles/file/33.asp

密码1

QQ截图20150407111333.png

漏洞证明:

弱口令

000 |123456|

001 |123456|

002 |123456|

003 |123456|

004 |123456|

006 |123456|

011 |123456|

012 |123456|

016 |123456|

018 |123456|

019 |123456|

021 |123456|

023 |123456|

027 |123456|

028 |123456|

029 |123456|

030 |123456|

032 |123456|

037 |123456|

040 |123456|

050 |123456|

055 |123456|

056 |123456|

068 |123456|

071 |123456|

072 |123456|

073 |123456|

091 |123456|

QQ截图20150407112614.png



QQ截图20150407110159.png



QQ截图20150407112900.png



QQ截图20150407113025.png



QQ截图20150407113638.png

修复方案:

很多库,很多数据~而且不止一波人留下了shell,仔细检查全站吧

上传点过滤

正确配置iis

知识来源: www.wooyun.org/bugs/wooyun-2015-0106360

阅读:47683 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“福建省福利彩票某平台任意文件上传Getshell”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云