声明:该系列所揭示的漏洞目前厂家已经全部修复,此处发布相关的内容只为提供学习用途,请勿做其他恶意破坏。
漏洞URL:
9158交易所app以及网站:http://www.topbtch.com:8080/index.html、主站http://www.topbtch.com总共三处地方存在上传漏洞。
简要描述:
上传漏洞,可以getshell
漏洞证明:
下载app,上传头像文件,修改文件名称为php后缀。添加php内容。(上传的文件已经删除。没动服务器上的任何东西。)
漏洞利用代码:
http://www.topbtch.com/upload//file//php//20180812//1534044177.php
修复方案:
过滤