***x档案1001期爆出了一个天天供求网站系统可以上传***的漏洞,本地搭建环境,下载天天供求网站系统3.3版,按照文章说的方法验证。网站系统的link/admin/upload.asp文件没有做权限验证,可以直接访问。搭建环境后访问http://192.168.1.119/link/admin/upload.asp?fuptype=adv&fupname=x.asp;x&frmname=adsrc,选择本地的数据库***,上传成功。使用一句话***客户端可以成功连接。
通过google寻找天天供求网站系统,发现很多网站都没有link这个文件夹,可能是没有连接管理这个模块吧,但是还是有一部分网站能够利用成功的。
漏洞分析:
1、upload.asp文件没有权限验证,可以直接访问
2、iis6.0会把x.asp;x.jgp的图片***按asp文件执行
3、参数可以带外提交。