« 上一篇下一篇 »

动网任意上传漏洞

影响版本: Powered By Dvbbs Version 8.2.0 Powered By Dvbbs Version 8.1.0 Powered By Dvbbs Version 8.0.0 注册用户-我的主页-个人空间管理 userspace.asp?sid=0&act=modifyset 然后编辑CSS风格-文件管理 Dv_plus/myspace/script/filemange.asp 其实还是利用了 Microsoft IIS 解析文件名“x.asp;x.jpg/x.php;x.jpg”漏洞参考 : 当上传图片为x.asp;x.jpg时,IIS会自动解析为asp格式, 所以我们只要上传后是x.asp;x.jpg这样的形式,就可以执行我们的马了,测试了下,x.php;x.jpg也是可以执行的。 给大家演示 以下 估计很多朋友 打开这个 "Dv_plus/myspace/script/filemange.asp "文件地址的时候找不到上传的地方, 其实你保存以下"基本设置" 然后转入==自定义风格==推荐==然后文件管理就出现上传地址了,