漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2014-060380
漏洞标题:与知音漫客的一次擦肩而过(任意上传+后台弱口令+支付漏洞大礼包)
相关厂商:zymk.cn
漏洞作者: 小龙
提交时间:2014-05-12 15:26
修复时间:2014-05-17 15:26
公开时间:2014-05-17 15:26
漏洞类型:网络设计缺陷/逻辑错误
危害等级:高
自评Rank:20
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2014-05-12: 细节已通知厂商并且等待厂商处理中
2014-05-17: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
看看DZ码的一手好字,其实这也没什么的,呵呵!
look
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
《知音漫客》创刊于2006年1月,国际大16开100P。全彩印刷的漫画生活志。经过三年发展成为每月四刊的周刊类杂志,每年50刊。现今月发行量已突破700 万册,是我国第一本原创漫画全彩周刊。出版了单行本240多本,画集3本。2008年,《知音漫客系列图书》荣获“2007年我最喜爱的十大动漫图书奖”。从2014年3月份起改为每周四发行。
详细说明:
几乎每条评论都到几千,微博几万。。。
弱口令:http://huixin.zymk.cn/admin.php
admin
admin
在进入这里http://huixin.zymk.cn/Public/upload.php?path=upload/img&inputid=pic
老是上传不上去,无语鸟。。。
熟悉的界面。。。
貌似改路径才可以上传。。被加时间戳了,不会突破。。求大牛们给点姿势!
在友情链接可影响首页! 非常严重
把他带到钓鱼网站,呵呵。。。
首页弹
http://www.mkzhan.com/index.php/cindex/index
在“我是作者”上传漫画可以加入GIF89a 绕过检测
一句话
上传封面那里上传 jpg;asp
这还有一处支付漏洞
在购买VIP那里抓包,然后你懂得。。。
site:
total_fee=100
没控制严
并且暴漏了[email protected] 邮箱。。。
漏洞证明:
各种姿势都用过了。求技巧。。。
私聊客服想坑个礼物的,居然一直不在线
给个小礼品真的有那么难吗 o(∩_∩)o
修复方案:
过滤,过滤。控制,严禁,yes,安全
版权声明:转载请注明来源 小龙@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2014-05-17 15:26
厂商回复:
最新状态:
暂无