海尔某内部平台配置不当可导致渗透下载

海尔某内部平台配置不当可导致渗透

海尔http://www.haierpeople.cn

海尔的内部的sns社区,板块还是比较多的.用的近乎的cms,只允许haier邮箱注册,js验证.

注册了账号,xss管理,cookie不完整,没法登陆.

重新注册账号,修改selectrole参数,超级管理员(这个是个诟病的地方)

进入后台.

上传皮肤,把shell和Emotions.xml压缩成zip文件上传,成功后解压,shell路径:/images/Emotions/xxxx/test.aspx

是在海尔的内网漫游吗?

当前位置:站长啦网站目录 » 站长资讯 » 站长新闻 » 漏洞预警 » 文章详细