来源:自学PHP网 时间:2015-04-16 23:15 作者: 阅读:次
[导读] 网络上流传的vClass教学平台存在一处任意文件上传和struts2命令执行漏洞。网上的流传介绍:Vclass 是由北京师范大学现代教育技术研究所开发的网络教学平台,它是建立在通用 Internet I...
网络上流传的vClass教学平台存在一处任意文件上传和struts2命令执行漏洞。
Vclass 是由北京师范大学现代教育技术研究所开发的网络教学平台,它是建立在通用 Internet/Intranet 基础之上的,专门为基于双向多媒体通信网络的远程教学而提供全面服务的软件系统,在丰富的学科资源的基础之上,学科教师根据教学要求与教学计划,并根据自己的教学特色,开发网络教学课件,借助于网络教学的一些支持工具,开展双向的远程教学,教学管理系统可以保障这种教学更加高效,也更加规范化。 Vclass 网络教学平台由四个系统组成:网上教学支持系统、网上教务管理系统、网上课程开发工具和网上教学资源管理系统四个子系统,
页面风格:
【声明:以下案例仅供CNVD、CNCERT测试使用,其他人不得利用或者恶意破坏,否则后果自负!】#4.struts命令执行漏洞 http://vclass.bhsedu.net.cn/login.do
http://58.132.57.4:8088/login.do
http://219.142.121.10:8081/login.do
http://kys.nsjy.com/login.do
http://vclass1.bhsedu.net.cn/login.do
reg/create.do 然后登录进去,修改头像的地方: /userInfo/userHead.do 上传一个经过处理的JSP脚本。建议使用IE测试。
attachment/download.do?id=2s3z1CpTW
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '% ' or o.description like ' % '%') and (diskfile0_.id in ('2KRjZQay8'))' at line 1
修复方案:好了,修补一下吧,所有上传的测试文件已经删除。软件的开发商是北京师范大学现代教育技术研究所,建议通知厂商修补。rank 20+ |
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com