网站地图    收藏   

主页 > 后端 > 网站安全 >

QVODCMS V4.0相关漏洞利用及修复 - 网站安全 - 自学

来源:自学PHP网    时间:2015-04-17 14:11 作者: 阅读:

[导读] 先是上传:位于admin/Fckeditor/maxcms_upload.htm 可以直接访问maxcms_upload.htm :form name=form id=form enctype=multipart/form-data action=maxcms_upload.asp?act=up method=post调用ma......

先是上传:
位于admin/Fckeditor/maxcms_upload.htm 可以直接访问
 
maxcms_upload.htm :
 
form name="form" id="form" enctype="multipart/form-data" action="maxcms_upload.asp?act=up" method=post>
 
调用maxcms_upload.asp
maxcms_upload.asp:
 
                        ' www.2cto.com 判断文件类型
                        if lcase(up_fileExt)="asp" and lcase(up_fileExt)="asa" and lcase(up_fileExt)="aspx" then
                                CheckFileExt(up_fileExt)=false
                        end if
                        if CheckFileExt(up_fileExt)=false then
                                response.write "<table><tr><td bgcolor=#E9F5F5>文件格式不正确 [ <a href=# onclick=history.go(-1)>重新上传</a> ]</td></tr></table>"
                                response.end
                        end if
 
 
 
很明显过滤了asp asa  aspx ....  so  you know how to use!    php  cer....
 
位于Admin\Fckeditor\editor\qvodcms_editor_server下有FCK不过被改名了 也可用直接访问利用
有:

frmupload.html
frmresourcetype.html
frmresourceslist.html
frmfolders.html
frmcreatefolder.html
frmactualfolder.html
 
Data/##QVODCMS4.0.mdb
md5加密
后台路径:admin/
用户名:qvodcms
密  码:qvodcms
认证码: qvodcms
but........
安全提醒:你必须修改默认后台admin目录名称不然无法输入帐号密码进后台!
so  你需要猜后台。

摘自 葙守's Blog

自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习

京ICP备14009008号-1@版权所有www.zixuephp.com

网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com

添加评论