摘要:
相关的漏洞介绍:http://www.wooyun.org/bugs/wooyun-2013-035199Discuz!NT 管理后台可以自定义文件类型,从而造成任意文件上传,测试过程中 aspx文件,目录并不会解析。所以需要能解析 asp 或者php等。过程演示【程序版本:Discuz!NT 3.6】:1. 登陆 Discuz!NT 后台,【全局】-->【附件设置】-->【附件尺寸】-->【添加附件类型】添加需要上传的文件类型。如图,我添加了ASP2. 给用户组加上上传ASP的权限。【用户】-->【分组与级别】-->【编辑用户组】-->【编辑系统组】--& 阅读全文