HanDs
管理员

[7月漏洞公开] 中国扶贫基金会主站getshell(泄漏百万捐款信息) 



RT

详细说明:

漏洞地址:http://**.**.**.**/login.jsp





帐号 wangpeng

密码 000000



2.jpg



此处没有做黑名单限制 导致可以任意上传文件





漏洞证明:

shell地址:http://**.**.**.**/upload/other/1464602439080.jsp



密码 mao

2.jpg





2.jpg







2.jpg



修复方案:

黑名单限制


学习中请遵守法律法规,本网站内容均来自于互联网,本网站不负担法律责任
中国 扶贫 基金 会主 g et sh el l
#1楼
发帖时间:2016-7-18   |   查看数:0   |   回复数:2
jjyyjjyy
天堂鸟LV23
危险啊。

2016-7-18 #2楼
jjyyjjyy
天堂鸟LV23
修复

2016-7-18 #3楼
游客组
快速回复