开发学院网络安全安全技术 Hidden型参数变量未过滤导致的上传漏洞利用一则 阅读

Hidden型参数变量未过滤导致的上传漏洞利用一则

 2008-12-27 13:47:16 来源:WEB开发网   
核心提示: 图21upload.gif上传到服务器,本地提交用.htm 用于本地打开提交上传文件,Hidden型参数变量未过滤导致的上传漏洞利用一则(5),图22图23成功上传海洋顶端木马到上一层目录,并可以正常使用,程序员和管理员都有责任,不过我个人认为,图24图25服务器的权限设置不严,websh

图21

upload.gif上传到服务器,本地提交用.htm 用于本地打开提交上传文件。

Hidden型参数变量未过滤导致的上传漏洞利用一则 

图22

Hidden型参数变量未过滤导致的上传漏洞利用一则

图23

成功上传海洋顶端木马到上一层目录,并可以正常使用。

Hidden型参数变量未过滤导致的上传漏洞利用一则

图24

Hidden型参数变量未过滤导致的上传漏洞利用一则

图25

服务器的权限设置不严,webshell可以浏览所有文件及目录,同时SERV-U为默认设置且没有设置管理密码,还是system启动服务运行的。

很容易地利用SERV-U提升权限,并添加管理员用户sai52

Hidden型参数变量未过滤导致的上传漏洞利用一则

图26

Hidden型参数变量未过滤导致的上传漏洞利用一则

图27

本次检测到这里就结束了。这个网站安全方面外紧内松,程序员和管理员都有责任,不过我个人认为,主要还是管理员的责任。

上一页  1 2 3 4 5 

Tags:Hidden 参数 变量

编辑录入:爽爽 [复制链接] [打 印]
[]
  • 好
  • 好的评价 如果觉得好,就请您
      0%(0)
  • 差
  • 差的评价 如果觉得差,就请您
      0%(0)
赞助商链接