碧海潮声大学生网

标题: 〖注意〗新云最新漏洞 [打印本页]

作者: starshow0571 时间: 2006-10-30 20:58
标题: 〖注意〗新云最新漏洞
新云的这个漏洞是flash目录下的downfile.asp文件，具体什么原理我懒得去看代码分析。
找个新云系统
在输入flash/downfile.asp?url=jackie/../../ 这后边写上文件名，你就会看到意想不到的事情。

先看看有没有flash目录，有错误，但是别着急，这是他把flash栏目关闭了，但是漏洞照样可用，我们要下载他的数据库链接文件，默认为conn.asp

组合上变得也就是flash/downfile.asp?url=jackie/../../conn.asp 注意jackie可以随便写

也就是说可以看到他数据库的设置文件！

作者: 笨笨啊 时间: 2006-10-30 22:15
看着怎么这么像是故意放的后门啊
-_-#

作者: starshow0571 时间: 2006-10-31 07:47
呵呵！
可以把源代码都下载下来！是由于flash目录下的downfile的文件出了问题！
[s:41]

作者: ipodwing 时间: 2006-11-1 21:22
我这里有新云的企业版，有软件和ＦＬＡＳＨ采集功能！谁要ＰＭ我

作者: starshow0571 时间: 2006-11-1 21:43

引用第3楼ipodwing于2006-11-01 21:22发表的“”:
我这里有新云的企业版，有软件和ＦＬＡＳＨ采集功能！谁要ＰＭ我

企业版本的是不是要注册过的啊?

作者: fegor 时间: 2006-11-4 12:08
貌似动画吧用的是这个系统。。。。
不过漏洞已经被补了。。。

作者: starshow0571 时间: 2006-11-4 21:32

引用第5楼fegor于2006-11-04 12:08发表的“”:
貌似动画吧用的是这个系统。。。。
不过漏洞已经被补了。。。

不会吧！动画吧应该不是的吧！
我知道中国站长站是用新云的！

欢迎光临碧海潮声大学生网 (http://www.zjoubbs.com/)