存在问题的站点:http://legc.lenovo测试数据/
1.上传头像处对过滤不严导致可上传任意文件:
2.好在上传的文件和web应用进行了分离无法直接利用,但是这样却导致了另外一个问题,任意文件 下载 ,上传数据后,我们抓到这样一个请求;
3.于是我们传入这样一个参数[/etc/passwd];
http://legc.lenovo测试数据/lefactory/static-content?contentPath=/etc/passwd
查看更多关于联想某站点任意文件上传与下载漏洞可读取服务的详细内容...
声明:本文来自网络,不代表【好得很程序员自学网】立场,转载请注明出处:http://haodehen.cn/did14745