百度搜索:卓越课程中心3.0
技术支持:卓越电子 http://www.able-elec.com/
--------------------------
问题页面:http://www.xxoo.com/G2S/AdminSpace/QE/AddCustomForm.aspx
查看该页面的源文件,同目录下有个AddCustomForm.js,重点代码如下:
漏洞演示:
1# 打开 http://www.xxoo.com/G2S/AdminSpace/QE/AddCustomForm.aspx
2# 选择xml文件上传(文件内容为asp代码)
3# 最后反问路径 http://www.xxoo.com/G2S/ewebeditor/uploadfile/QEData/201410191249041576193_1.asp即为webshell地址。
<完>