欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

永久网络个人音乐盒LajoxBox v1.1最新上传漏洞利用

来源:本站转载 作者:佚名 时间:2010-05-01 TAG: 我要投稿

漏洞描述:
                  1.默认数据库下载
                  2.后台验证不严格,存在上传漏洞,可以提交asa马
漏洞利用:

                 1.下载默认数据库data/#music.asa ,将#号替换成%23即可下载。
                 2.http://www.hackqing.cn/admin/inc/fileuploadcls.asp 直接访问,无登陆限制,通过上传asa马获得webshell

修补方案:
                 1.更改默认数据库名称,加入特殊字符限制下载。

                  2.给admin目录下文件加 cookies 或session验证,并对上传内容进行严格过滤,只允许上传图片格式文件。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载