浙江兴丰特产有限公司

[求助] 暴个漏洞uc_server data tmp 时间:2018-09-28   点击:  栏目:公司新闻


用户ID:/home.php?mod=space&uid=34992

修改头像,香港六和合彩网站不要去确定,直接到uc_server/data/tmp找文件:uc_server/data/tmp/upload34922.jpg,肯定存在

可能有人觉得这不是问题。如果使用Windows 2008 IIS7.5,你通过

*/uc_server/data/tmp/upload34922.jpg/.php

你可以看到一堆乱码文件,而不是图片。这就是解析漏洞的具体表现。

那么,如果在图片里面加入一句话木马,后面怎么玩,你懂的。

希望官方能补上这个漏洞,命名能不能随机,黑客就无法猜出上传后的文件名,也就无法执行了