查看: 1775|回复: 25

永久网络个人音乐盒LajoxBox v1.1最新上传漏洞利用

[复制链接]
发表于 2013-11-28 10:31:37 | 显示全部楼层 |阅读模式

漏洞描述:
                  1.默认数据库下载
                  2.后台验证不严格,存在上传漏洞,可以提交asa马
漏洞利用:

                 1.下载默认数据库data/#music.asa ,将#号替换成%23即可下载。
                 2.http://www.hackqing.cn/admin/inc/fileuploadcls.asp 直接访问,无登陆限制,通过上传asa马获得webshell

修补方案:
                 1.更改默认数据库名称,加入特殊字符限制下载。

                  2.给admin目录下文件加 cookies 或session验证,并对上传内容进行严格过滤,只允许上传图片格式文件。


发表于 2013-11-29 19:55:12 | 显示全部楼层
其实回帖算是一种没德德,所以我快成圣人了  
发表于 2013-11-29 21:01:30 | 显示全部楼层
真是佩服得六体投地啊  
发表于 2013-11-30 16:48:23 | 显示全部楼层
哈哈,顶你了哦.  
发表于 2013-12-8 00:08:54 | 显示全部楼层
今天没事来逛逛  
发表于 2013-12-10 11:54:50 | 显示全部楼层
饭可以乱吃,话也可以乱说,但贴子不可以乱发哦  
发表于 2013-12-12 07:35:19 | 显示全部楼层
我毫不犹豫地把楼主的这个帖子收藏了  
发表于 2013-12-12 11:58:07 | 显示全部楼层
顶你一下,好贴要顶!  
发表于 2013-12-12 12:52:02 | 显示全部楼层
不错不错.,..我喜欢  
发表于 2014-10-15 20:04:01 | 显示全部楼层
人之所以能,是相信能。  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则