Hidden型参数变量未过滤导致的上传漏洞利用一则
2008-12-27 13:47:16 来源:WEB开发网核心提示: 图21upload.gif上传到服务器,本地提交用.htm 用于本地打开提交上传文件,Hidden型参数变量未过滤导致的上传漏洞利用一则(5),图22图23成功上传海洋顶端木马到上一层目录,并可以正常使用,程序员和管理员都有责任,不过我个人认为,图24图25服务器的权限设置不严,websh
图21
upload.gif上传到服务器,本地提交用.htm 用于本地打开提交上传文件。
图22
图23
成功上传海洋顶端木马到上一层目录,并可以正常使用。
图24
图25
服务器的权限设置不严,webshell可以浏览所有文件及目录,同时SERV-U为默认设置且没有设置管理密码,还是system启动服务运行的。
很容易地利用SERV-U提升权限,并添加管理员用户sai52
图26
图27
本次检测到这里就结束了。这个网站安全方面外紧内松,程序员和管理员都有责任,不过我个人认为,主要还是管理员的责任。
[]
更多精彩
赞助商链接