棋牌源码网

披露状态:

 

2014-05-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-09: 厂商已经主动忽略漏洞 ,细节向公众公开

简要描述:

网狐6603棋牌网站程序是目前棋牌主流程序,网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限

详细说明:

网狐6603棋牌程序 百度:gamerules.aspx?KindID=

基本都是网狐6603的程序

随便找一个

网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情 后台 网站 网狐6603 棋牌技术  第1张



查看这个图片的路径URL

这个就是后台地址
 

好吧 主要的内容在这 上传 http://www.game69.cn:888/tools/filesupload.aspx


 

就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传

 

网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情 后台 网站 网狐6603 棋牌技术  第2张

 

漏洞证明:

 

 

 

修复方案:

登录后上传

版权声明:转载请注明来源 路人甲

漏洞回应

厂商回应:

未能联系到厂商或者厂商积极拒绝

漏洞评价:

对本漏洞信息进行评价,以更好的反馈信息的价值 ,包括信息客观性,内容是否完整以及是否具备学习价值

本文链接:https://www.jr160.com/game/1530.html

版权声明:

本站发布的内容若侵犯到您的权益,请邮件联系 web58678@gmail.com 删除,我们将及时处理!

从您进入本站开始,已表示您已同意接受本站【免责声明】中的一切条款!

本站大部分下载资源收集于网络,不保证其完整性以及安全性,请下载后自行研究。

本站资源仅供学习和交流使用,版权归原作者所有,请勿商业运营、违法使用和传播!请在下载后24小时之内自觉删除。

若作商业用途,请购买正版,由于未及时购买和付费发生的侵权行为,使用者自行承担,概与本站无关。