Skip to content

利用fckeditor在asp后台植入asp木马

今天猜中了一个小企业站asp后台的用户名和密码,都是admin(这是很不安全滴!!!)

然后就进入了后台,但是后台很简单,提交框都不能直接写代码,图片上传只限制jpg,而且还重命名,这样就不能使用x.asp;x.jpg上传木马了。

但是我看到了fckeditor(文章的编辑器),当然路子也不是很顺利的,首先试试编辑器的图片上传功能,囧。。。它不仅仅检测后缀,而且会检测到底是不是真实的图片。无果,继续。

我又看到了flash上传!!!哈哈,这个他做的也很智能,它会把x.asp;x.swf重命名为x_asp;x.swf。只要文件名里面不允许有点。好吧,我把木马文件改为了x.asp;xswf,然后继续。

奇迹出现了!!!!苍天啊,可见fckeditor在上传flash的时候只会检测后缀名是否包含swf三个字母,这个未免也太弱了!!!

插播一个征婚广告~~

也是受朋友之托。

>_<

女,运营妹,23岁,未婚,身高167cm,体重48KG,山东青岛。

目前在阿里巴巴工作,负责支付宝相关业务,工号 519720401 支付宝搜索工号可见照片。

漂亮大方,爱好读书、健身、游泳、吃鸡。

青岛有房一套,有车。

父母退休,家庭不拜金、人务实,一直没有合适的男朋友。

她本人要求不高,只要对她真心好就行。

 

您的赞助将会鼓励作者技术文章创作以及支持本站运维。

发表评论

Your email is never published nor shared. Required fields are marked *


TOP