HanDs
管理员

UEditor1.3.6编辑器上传漏洞 





学习中请遵循国家相关法律法规,黑客不作恶。没有网络安全就没有国家安全

本站需要登陆后才能查看

起因:今天在群里吹牛逼来着,群里一个人说帮拿一下他们学校的网站
然后我说行啊,发来试试
然后就开始了下面的过程……

开始:拿到一个站我一般先检测脚本,服务器,搭建平台,数据库和是否存在防护软件。
完了就开始扫目录,在扫目录的同时我会去扫端口,扫旁站。

进入正题:扫目录得到一个编辑器页面,版本是UEditor 1.3.6
上传:

图片上传抓包:
发送到改包:


这里可以控制文件名,而且是II6.0,可以利用解析漏洞拿shell,接下来大家应该都知道怎么做了。


成功:





学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
UEditor1.3.6 编辑器上传漏洞
#1楼
发帖时间:2016-9-11   |   查看数:0   |   回复数:0
游客组
快速回复