简要描述:
网狐6603棋牌网站程序是目前棋牌主流程序,网站后台部分存在任意文件上传漏洞 可直接getshell
得到这类系统的数据库权限
详细说明:
网狐6603棋牌程序 百度:gamerules.aspx?KindID=
基本都是网狐6603的程序
随便找一个
查看这个图片的路径URL
这个就是后台地址
好吧 主要的内容在这 上传 http://www.game69.cn:888/tools/filesupload.aspx
就是这个上传 上传一张图片后缀的aspx马 burp 修改图片马名字为aspx后缀 果断上传
漏洞证明:
修复方案:
登录后上传