入门 硬件知识 电脑基础 上网入门 故障 电脑修护 电脑健康 精通电脑 网站 DIV+CSS 建站知识 SEO知识
教程 电脑操作 平面设计 路由设置 技巧 Word Excel QQ技巧 壁纸 自然风景 酷车美女 系统桌面
系统 安装系统 系统技巧 系统设置 安全 木马查杀 黑客防御 安全资讯 美女 明星写真 清纯美女 性感美女

主页 > 网络安全 > 安全知识 > INTRODUCE

KindEditor编辑器上传修改拿shell漏洞

发布时间:2013-04-19 作者:电脑知识网 来源:www.sogoupc.com 字号:
作者:relywind
 
影响版本:
KindEditor 3.5.2~4.1
 
漏洞利用:
打开编辑器,搜狗电脑知识网,将一句话改名为1.jpg   上传图片,
打开文件管理,进入“down”目录,搜狗电脑知识网,跳至尾页,最后一个图片既是我们上传的一句话
点击改名
 
 


 
打开谷歌浏览器的 审查元素
 
 


 
找到form表单
 


 
 
修改“jpg”为“asp”
 


 
 
名字修改为1  保存
 
 



 
一句话就生成了,连接地址为
 
/upfiles/down/1.asp

文章: KindEditor编辑器上传修改拿shell漏洞
地址:http://www.sogoupc.com/anquan/201304/7633.html
------分隔线----------------------------
------分隔线----------------------------
热门安全知识文章推荐