查看: 220|回复: 1

网狐6603棋牌网站程序后台部分任意文件上传漏洞

[复制链接]

10

主题

44

帖子

271

积分

vip会员

Rank: 1

积分
271
发表于 2020-3-27 15:50:52 | 显示全部楼层 |阅读模式
简要描述:

网狐6603棋牌网站程序是目前棋牌主流程序,网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限

详细说明:

网狐6603棋牌程序 百度:gamerules.aspx?KindID=  

基本都是网狐6603的程序
随便找一个  


查看这个图片的路径URL  

这个就是后台地址

好吧 主要的内容在这 上传

就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传  


漏洞证明:
修复方案:

登录后上传



Mission系统预览从大局上看Mission是和整体的MVC框架协作的,那ServerListData来说,ServerList这一个逻辑可以单独出来,维护三个位置Data、Mission、View 具体到list data的获取都直接由Mission完成,其他模块之需要使用就OK,Mission自己有策略决定何时去获取,或者定时更新



挂接:就是用户多时,做分流的意思。




回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | enginedx注册

本版积分规则

 
 



邮件留言:


 
返回顶部