漏洞存在頁(yè)面:newsdisp.asp
很明顯的注入漏洞�����!
有些站做了防注�。╟ookie注入就可以搞定了)
一般的表名為admin 字段名為:username password
有些站表為wq_admin 字段同上
還有個(gè)更要命的漏洞(不過(guò)也不是什么漏洞)���!
這些站基本都用了網(wǎng)絡(luò)公司給他們的用戶名跟密碼�!
用戶名:xywanqi
密碼:wanqi#029*(這個(gè)密碼還得謝謝壞壞不乖兄弟破解)
都不要注入拿用戶名跟md5密碼了���!
2�����、找后臺(tái)(比較蛋疼的過(guò)程)
我試了幾個(gè)常用的后臺(tái)沒(méi)找到����。用阿d����,明小子�����,豹子跑都沒(méi)有跑出來(lái)!
我用谷歌搜 "技術(shù)支持:萬(wàn)企互聯(lián)" 后臺(tái)管理
谷歌第一個(gè)就找到了�����!
我發(fā)現(xiàn)他的后臺(tái)很特別:
www.xxx.com /wq029xxx/login.asp 是這樣的格式����!
我試了幾個(gè)站都是這種格局了
后臺(tái)找到了!
3.拿shell
備份拿站�!傳個(gè)圖片格式的小馬! 圖片路徑:/photo/20105112139512.jpg
有些站沒(méi)有備份����!
可以抓包上傳,后臺(tái)還有eweb編輯器可以利用�����!
這個(gè)沒(méi)什么技術(shù)含量高手不要見笑��!
修復(fù)方案:
防注入程序需能防cookie注入,及時(shí)修改密碼�����,編輯器升級(jí)
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營(yíng)銷知識(shí)
常見技術(shù)問(wèn)題
QQ空間
新浪微博
開心網(wǎng)
人人網(wǎng)
