精选国内外互联网行业最新文章及报告,让网友获得最新的海内外互联网动态
当前位置:主页 > 互联网 > 网络安全 >

拼图秀任意文件删除、本地包含漏洞、重复安装漏洞

2015-01-20 11:44 来源: 编辑:admin
拼图秀,官网:http://bbs.onightjar.com/   早前的挖的洞洞了。刚才试了下百度。   发现好多站。都直接就能重复安装了   输入下面的地址   http://www.bitsCN.com/ index.php?c=install   就能出现安装界面了。   我估计吧。是管理员都把data/install.lock这个东东删除了   这是啥玩意。大家应该懂的吧。。   如果这个东东没被删除呢。。那怎么办。。没事。咱自己来帮它删。。   先注册个用户,然后登录,访问下面地址,删除install.lock文件   http://www.xxx.com/index.php?c=webuser&a=save_avatar&filename=../../../data/install.lock&type=avatar   晓得吧。。任意文件删除漏洞。。想删哪个删哪个。   删完后就能重新安装了。。重新安装。。数据库咱填自己的。。安装后就能进后台了。进了后台后。。就随便你了。。。。   至于修复呢,就是删除/controller/install.php了。我估计官网就是删了这东西。所以官网能删任意文件。但是输入安装的路径。   出来空白页面。   嗯,然后呢。还有个本地包含漏洞。。你注册个用户。传个图片上去。。然后输入   http://www.xxx.com/ajaxtpl/render_tpl/?tpl=../../../../../../data/attachments/tmp/1353993495.jpg%00.   就包含了。。。可惜呢。。哥找遍了网上相关资料。都说加%00啊还有加啥的呀。就能截断了。   可是我百试不灵啊。。求指教,求津液,求讨论。。
标签
返回首页
扫描微信
返回顶部