好得很程序员自学网

<tfoot draggable='sEl'></tfoot>

SiteServer CMS程序上传过滤不严致可拿shel - 网站安

某天跟Night聊天,偶然发现SiteServer CMS上传的 漏洞 ,过滤不严格http://demo2.siteserver.cn 今天去测试下主站的这个演示模板

之前这套程序也有爆出用户名没有过滤严格被利用的,更新补丁后的程序不能注册*. asp 这样带点的用户,用户上传也过滤了*.asp;.jpg这种,随便试了下,发现没有过滤*.asa;.doc 通过IIS6.0的漏洞 直接执行该文件,于是shell就出来了。。。。

 

首先注册了个用户wooyun (随便填写了个)

到用户中心,上传页面。

OK 上传成功

 

打开试试

 

 

成功了

最后直接上菜刀。。

修复方案:

没有好的方案哦 过滤严格点就行

查看更多关于SiteServer CMS程序上传过滤不严致可拿shel - 网站安的详细内容...

声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://www.haodehen.cn/did14649
  阅读:70次

上一篇: ThinkSNS又一个任意上传文件漏洞 - 网站安全 - 自学

下一篇:再次拿下学校考勤服务器+官网+安全建议 - 网站

相关资讯