棋牌源码吧

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 244|回复: 0

网狐6603棋牌网站程序后台部分任意文件上传漏洞 漏洞详情

[复制链接]

2971

主题

0

回帖

8930

积分

超级版主

Rank: 8Rank: 8

积分
8930
发表于 2023-8-9 03:16:37 | 显示全部楼层 |阅读模式
披露状态:  
2014-05-11: 积极联系厂商并且等待厂商认领中,细节不对外公开
2014-08-09: 厂商已经主动忽略漏洞,细节向公众公开
简要描述: 网狐6603棋牌网站程序是目前棋牌主流程序,网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限
详细说明: 网狐6603棋牌程序程序流程图 百度:gamerules.aspx?KindID=

基本都是网狐6603的程序

随便找一个




查看这个图片的路径URL

这个就是后台地址
  

好吧 主要的内容在这 上传 http://www.game69.c漏洞英文n:888/tools后台app刷新需要关闭吗/filesupl厂商是什么意思oad.aspx


  

就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传


  

  
漏洞证明:  

  

  
修复方案: 登录后上传
版权声明:转载请注明来源 路人甲 漏洞回应 厂商回应: 未能联系到厂商或者厂商积极拒绝
漏洞评价: 对本漏洞信息进行评价,以更好的反馈信息的价值,包括信息客观性,内容是否完整以及是否具备学习价值
游客,如果您要查看本帖隐藏内容请回复
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|棋牌源码吧

GMT+8, 2024-11-22 21:23 , Processed in 0.068457 second(s), 18 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表