联想某分站任意文件上传可控制服务器及修复

任意文件上传，导致可以执行脚本文件。

1.url:http://lefen.lenovo测试数据/index.php/kebi/

 

 

 

2.上传图片处，只验证了图片类型，未验证图片格式。（上传插入一句话内容的jpg文件，然后burp抓包，修改上传文件后缀为php。）

Burp上传抓包修改php就不说了。

 

1.权限、版本

 

 

2. 数据库

 

3.用户信息泄漏

4.另外，站点还有目录浏览

 

修复方案： 1.上传 过滤

 

 

 

2.上传目录不允许脚本执行，或者上传至远程服务器

 

 

 

3.数据库弱口令 123456 lenovo 修改 

查看更多关于联想某分站任意文件上传可控制服务器及修复的详细内容...