投稿文章:手动修复fck编辑器漏洞

2018-04-27 09:47:06 0 9562

手动修复fck编辑器漏洞

某天看到这样一个编辑器,显然是fck编辑器,手动搜索了一下该编辑器的漏洞,大部分都没利用成功,自己动手试试。

正常传一张图片试试,可以正常上传

在文件名后加空格可轻易绕过检测

虽然文件上传成功了,但是没有执行权限,尝试将其传到上一级目录,改了好几个参数,比如:CurrentFolder、filename等等都没有成功

思考了一下文件上传后的链接,修改type参数,果然成功上传到其他目录。

审计源码,对upload.asp进行修复,其中有两点:1、禁止上传时传到其他目录。2、禁止文件夹不存在时就创建,防止1.asp/1.jpg的情况发生。

原文 在原文最后已经注释为tools申请文章

关于作者

kmjjjj8篇文章43篇回复

评论0次

要评论?请先  登录  或  注册