绕过本地验证进后台
刚才闲着没事 逛下论坛!看到这样个原创帖子4o|?0nW%oJ-O M0I:C)A[原创文章] 小记一次简单的入侵3m5B:z-R#kp e'^
小记
原创作者:huar YQ@"DQs_
原创出处:3.A.S.T网络安全团队[url]http://www.3ast.com.cn/[/url]
偶然遇见个站,所以就有了下面的简单教程(仅供还不会入侵的朋友参考)jtALJ*v2A
1.绕过本地验证进后台
2.数据库备份拿webshell.
3.找路径被修改的ewebeditor编辑器D:bt?G B
4. ewebeditor直接够造上传
大牛huar的思路很明确!值得我们小菜学习C#z,| iy7wf/f
1.绕过本地验证进后台8Co,`N$y6{c Z4PV
当看到这的时候 由于经验不足很迷茫!B)~s'w3`+l4S7? c"q
本地验证 怎么进去了? 看看帖子也没讲原理![1? p0h'I,r0q*izak
好多跟帖的也不会!
作者也没讲原理!所以小弟就找下资料 -OWH'BqrO7@#D,e
给大家讲下!大牛莫笑 嘿嘿 T7]??'r&u/[+Z
首先 这算个漏洞把!因为并不是所有的网站系统都可以的!
找个这样系统的站给大家演示下!
普天网络 Design By Love2world
我找到是这个! 找到后台 登陆提示是图1:r9@ k^h:XE8d
[localimg=180,97]1[/localimg]
kZhCqV%m2K
接着 我们查看源文件! 图2
[localimg=180,118]2[/localimg].Dm$u(j*?#T8p
<SCRIPT language=JavaScript>
<!--
function CheckForm()
{ _Qr)D}'q r
if (document.UserLogin.Name.value =="")
{$vV-e0RW2_nR-aL3A
alert("请填写您的用户名!");
document.UserLogin.Name.focus();5hT5A ZQ7K
return false;$?N@8v5c8@w7D
}
var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;zHLhE)s9y.J%K6^
if (!filter.test(document.UserLogin.name.value)) {
alert("用户名填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,不超过15个字符,注意不要使用空格。");
document.UserLogin.Name.focus();
document.UserLogin.Name.select();
return false; l/hR%f4_tI"_
}
if (document.UserLogin.Pwd.value =="")
{