永久网络个人音乐盒LajoxBox v1.1最新上传漏洞利用

admin · 发表于 2013-11-28 10:31:37

漏洞描述：
1.默认数据库下载
2.后台验证不严格，存在上传漏洞，可以提交asa马
漏洞利用：

1.下载默认数据库data/#music.asa ，将#号替换成%23即可下载。
2.http://www.hackqing.cn/admin/inc/fileuploadcls.asp 直接访问，无登陆限制，通过上传asa马获得webshell

修补方案：
1.更改默认数据库名称，加入特殊字符限制下载。

2.给admin目录下文件加 cookies 或session验证，并对上传内容进行严格过滤，只允许上传图片格式文件。

绝情流星 · 发表于 2013-11-29 19:55:12

其实回帖算是一种没德德，所以我快成圣人了

`````````` · 发表于 2013-11-29 21:01:30

真是佩服得六体投地啊

袁家荣 · 发表于 2013-11-30 16:48:23

哈哈,顶你了哦.

寂寞的自由 · 发表于 2013-12-8 00:08:54

今天没事来逛逛

俺是坤哥 · 发表于 2013-12-10 11:54:50

饭可以乱吃，话也可以乱说，但贴子不可以乱发哦

刘日荣 · 发表于 2013-12-12 07:35:19

我毫不犹豫地把楼主的这个帖子收藏了

锋哥哥 · 发表于 2013-12-12 11:58:07

顶你一下，好贴要顶！

写就你 · 发表于 2013-12-12 12:52:02

不错不错.,..我喜欢

孙浩男 · 发表于 2014-10-15 20:04:01

人之所以能，是相信能。