首页 » 网站攻防 » 浏览内容

通元建站系统存在任意下载0day

679 2 发表评论

这个系统搭建的站都是些大型的政府站和清华北大等高等学校的网站 所以研究了下 首先看了漏洞页面
cmswebdownloadFiles.jsp
分析了下源代码

可任意下载网站的任意软件 找到这个点那么后面的就简单了
找网站的绝对路径 百度 或者谷歌关键字:inurl:downloadFiles.jsp 出来了很多文档 把鼠标放在这些链接上面 大部分网站的绝对路径就出来了
然后找默认路径下载 例如:
http://www.XXXX.cn/cms/web/downloadFiles.jsp?file=/home/gpower/webapps/cms/WEB-INF/web.xml
其余的 不用我多说了吧 很多站就是用的这个系统

标签:

评论 共 2 条 (RSS 2.0) 发表 评论

  1. 会员头像 小铭说道:

    好牛逼哦

发表评论

  •   没有头像?

关注我们,实时联系

通知公告">更多...

♥如果喜欢本站可以直接点击订阅博客
♥点击此加入晓残博客会员群加入扣群
♥本站免费提供加密解密服务点击解密
♥伙伴们喜欢本站赏个好评呗

关注微信

有偿服务

博客统计

  • 日志总数:477 篇
  • 评论数目:1474 条
  • 标签总数:40 个
  • 页面总数:8 个
  • 分类总数:17 个
  • 友链总数:24 个
  • 建站日期:2011-02-13
  • 运行天数:2125 天
  • 最后更新:2016-12-6

订阅博客