您的位置 » 首页 » 实用工具 » 千脑越权上传漏洞利用方法

千脑越权上传漏洞利用方法

发表于5年前 | 作者: seay | 分类: 实用工具 | 孵化于:2012年06月03日 | 文章热度:3,139 次 全屏阅读

显示不全请点击全屏阅读

刚刚无意发现的,小心情有点小激动,测试成功越权上传,蛋疼的是百度了下,4月的时候就有人公开了。想了想还是写下来吧,毕竟也是自己的一点发现。

利用方法:访问http://www.qiannao.com/tomos/ui/qnupload.jsp?id=用户名

直接浏览上传,上传后有一个链接,打开

我们再到网盘来看下,上图

很明显的效果了,看前人说的,直接把用户名改成webtomos上传,直接就变成VIP下载链接了,测试了下,确实是这样,到现在千脑还没修复这个洞洞,待会给他发个邮件吧。。。
还有个SQL注入的现在也还没修复,蛋疼的。。。

By:Seay
2012 年 6 月 3 日

Tags:

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡


来自 Seay互联网安全博客
本文地址:http://www.cnseay.com/122/
文章版权说明请看置顶文章,尊重作者,转载请以链接形式标明原文地址

马上分享给你的朋友吧~

发表评论

你的大名(必填)

你的邮箱(必填)

评论内容(必填)