这个bug很早之前我告诉过老虎,老虎也确实修复了
但只修复了一部分,还是有其他方法利用
由于本人长期实践证实该bug太鸡肋,并没有太大危害,所以发出来给大家玩玩
大家现在访问葫芦的robots文件是这样的:
也许这个帖子发出,文件就又被修改了
好,现在开始
看葫芦底下的功能列表,有个在线的图片上传操作
点进去之后,看我的图
估计看懂了吧,就是把上传后的文件名改成跨目录的
上传之后发现
图片列表有图片,说明文件是正常生成在正常的目录中,这是老虎修复过bug之后的。
好,不怕,老虎忘了修“改名”操作,咱们点一下试试
噢了,图片列表没有文件了,说明图片被移动了,移动去哪里了呢?到这了
神奇吧,葫芦的ronots.txt被成功修改了!
大家应该有留意,为啥我填写文件名只写了robots,但生成的却是robots.txt呢?因为老虎很聪明啊,他源文件里已经把生成的文件全都加了个 ".txt",所以生成的只有txt,而且服务器用的是linux系统,该有的解析漏洞已经被堵上了,我前文所说的这个bug比较鸡肋就此体现啦!
嘿嘿,如果是win系统,你们的葫芦早让我端啦。
悄悄跟你们说,葫芦在用win服务器的时候,我已经进去过了,当时有个谁在服务器上弄了个广告联盟来着,我知道葫芦也是因为无意间进了那个服务器,然后发现葫芦是同站的,我当时还把葫芦源码打包下来想要卖,谁知葫芦程序原来是开源的,后来服务器的唐某某还是某某唐还是某唐某估计是发现了,年代有点久,我只记得服务器主人名字有个唐,他应该有通知了老虎,或者是觉察了,然后老虎搬到linux上了,我是这样知道葫芦的。
bug已经揭开,大家不要玩得太过份了。
最后,
@老虎会游戏,
@姜辰,该咋办你肯定懂的
