网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情

披露状态：

 

2014-05-11： 积极联系厂商并且等待厂商认领中，细节不对外公开
2014-08-09： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

网狐6603棋牌网站程序是目前棋牌主流程序，网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限

详细说明：

网狐6603棋牌程序程序流程图 百度：gamerules.aspx?KindID=

基本都是网狐6603的程序

随便找一个

查看这个图片的路径URL

这个就是后台地址
 

好吧 主要的内容在这 上传 http://www.game69.c漏洞英文n:888/tools后台app刷新需要关闭吗/filesupl厂商是什么意思oad.aspx

 

就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传

 

 

漏洞证明：

 

 

 

修复方案：

登录后上传

版权声明：转载请注明来源 路人甲

漏洞回应

厂商回应：

未能联系到厂商或者厂商积极拒绝

漏洞评价：

对本漏洞信息进行评价，以更好的反馈信息的价值，包括信息客观性，内容是否完整以及是否具备学习价值

资源下载

此资源仅限注册用户下载，请先登录

【购买风险提示】

1. 全站3000+棋牌资源，终身VIP都可以免费下载，绝无二次收费。

2. 本站棋牌资源大多全网各种渠道采购，资源描述为转载资源站点内容，本站没有精力一一测试，搭建不一定成功。

3. 本站开通数十站点会员，资源过多，大部分无法亲自测试，源码有可能存在缺陷或者不完整的风险，所以低价出售仅供参考研究。确认购买视为接受该风险，由于源码具有可复制性，不接受任何理由退款！！！

4. 所有资源不一定包含安装教程，可以搜索本站其他资源教程作为参考。

5. 所有资源不提供搭建服务，如有需求请提前联系客服咨询。

6. 源码收集于网络，仅供研究学习，单机娱乐，请勿用于违法用途，源码中包含任何联系方式及网址请谨慎甄别，切勿上当受骗！

资源下载

下载需要：免费

请先登录

【购买风险提示】

1. 全站3000+棋牌资源，终身VIP都可以免费下载，绝无二次收费。

2. 本站棋牌资源大多全网各种渠道采购，资源描述为转载资源站点内容，本站没有精力一一测试，搭建不一定成功。

3. 本站开通数十站点会员，资源过多，大部分无法亲自测试，源码有可能存在缺陷或者不完整的风险，所以低价出售仅供参考研究。确认购买视为接受该风险，由于源码具有可复制性，不接受任何理由退款！！！

4. 所有资源不一定包含安装教程，可以搜索本站其他资源教程作为参考。

5. 所有资源不提供搭建服务，如有需求请提前联系客服咨询。

6. 源码收集于网络，仅供研究学习，单机娱乐，请勿用于违法用途，源码中包含任何联系方式及网址请谨慎甄别，切勿上当受骗！

网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情原文链接：https://qipaiyuanmaxiazai.com/12395.html，转载请注明出处~~~