[转载]自由动力3.6又出严重漏洞

文章作者：黑猫
信息来源：http://www.hoky.org/

下面我们来修改我们截到的数据包。
再.asp后加上" .rar"这样就可以骗过程序，让他以为这是rar 文件。
因为添加了五个字符，所以要把数据字数加五，就是这个数据 加五后是：
接着我们打开UltraEdit,把.asp后的空格20改为00保存即可，
这里我们来说一下原理，这是利用电脑在读取字符串时遇到"\0"(00)时，认为字符串结束了，从而丢掉后面的字符串，但是保存时，文件名是从左过读取的，当它遇到"\0"时，后面就都丢掉了，于是文件被保存成我想要的文件名了。
接着我在用nc 把截取的修改的数据提交。


下载地址：http://down1.hoky.org/donghua/dongliupfile.rar