网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情

自助开通VIP,整站资源任意下载

披露状态:

 

2014-05-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-09: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

网狐6603棋牌网站程序是目前棋牌主流程序,网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限

详细说明:

网狐6603棋牌程序 百度:gamerules.aspx?KindID=

基本都是网狐6603的程序

随便找一个

网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情



查看这个图片的路径URL

这个就是后台地址
 

好吧 主要的内容在这 上传 http://www.game69.cn:888/tools/filesupload.aspx


 

就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传

网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情

 

 

漏洞证明:

 

 

 

修复方案:

登录后上传

版权声明:转载请注明来源 路人甲

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值

本站源码仅做学术研究,自娱自乐使用,不得用于赌博性质的非法商业用途!转载请说明出处!
棋牌资源网 » 网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情

这里有你所需要的,找专业的人做专业的事!

游戏演示 联系客服