=波波日志 > 黑客技术 > 永久网络个人音乐盒LajoxBox v1.1最新上传漏洞利用=
[转]永久网络个人音乐盒LajoxBox v1.1最新上传漏洞利用
漏洞描述:
1.默认数据库下载
2.后台验证不严格,存在上传漏洞,可以提交asa马
漏洞利用:
1.下载默认数据库data/#music.asa ,将#号替换成%23即可下载。
2.http://www.hackqing.cn/admin/inc/fileuploadcls.asp 直接访问,无登陆限制,通过上传asa马获得webshell
修补方案:
1.更改默认数据库名称,加入特殊字符限制下载。
2.给admin目录下文件加 cookies 或session验证,并对上传内容进行严格过滤,只允许上传图片格式文件。
http://hi.baidu.com/isbx/blog/item/6f532fdd92a0f1d58c102911.html
1.默认数据库下载
2.后台验证不严格,存在上传漏洞,可以提交asa马
漏洞利用:
1.下载默认数据库data/#music.asa ,将#号替换成%23即可下载。
2.http://www.hackqing.cn/admin/inc/fileuploadcls.asp 直接访问,无登陆限制,通过上传asa马获得webshell
修补方案:
1.更改默认数据库名称,加入特殊字符限制下载。
2.给admin目录下文件加 cookies 或session验证,并对上传内容进行严格过滤,只允许上传图片格式文件。
http://hi.baidu.com/isbx/blog/item/6f532fdd92a0f1d58c102911.html
类别:黑客技术 作者:转载 日期:2010-05-04 【评论:0】
暂时没有评论!
发表留言
百度赞助
同类热门博文
- ·翻墙软件组合:FireF..
- ·狗日的us-hacker@ho..
- ·JS/Exploit-DialogA..
- ·QQ输入状态漏洞,让..
- ·关于adodb.stream的..
- ·DDoS攻击使用的常用..
- ·晓风内核 彩票整站平..
- ·如何在 Internet Ex..
博格Tag
- flash/flex/fcs/AIR(752)
- Asp.Net/C#/WCF(598)
- 操作系统及应用软件(376)
- JavaScript/Ajax(330)
- SQL及数据库(134)
- 黑客技术(115)
- Asp/VBScript(111)
- HTML/WML/CSS兼容/XML(102)
- PHP/apache/Perl(96)
- 网站排名及优化(96)
- 其他(75)
- showbo日志(66)
- lucene.net/分词技术(33)
- 计算机网络(26)
- 机械重工(26)
- C#设计模式(25)
- Google Maps开发(17)
- 日语学习(15)
- Canvas/VML/SVG(13)
- linux(11)
- 游戏开发(8)
- 正则表达式(5)
- Jsp/Java(4)
最新博文
- ·ad.zom123.net弹窗木..
- ·如何截获浏览器密码..
- ·破解查看IE浏览器保..
- ·Ewebeditor漏洞整理..
- ·获取最新穿墙软件的..
- ·翻墙工具下载地址
- ·图解软件破解详细步..
- ·软件破解步骤
随机博文