绕过本地验证进后台
刚才闲着没事 逛下论坛!看到这样个原创帖子[原创文章] 小记一次简单的入侵
小记oV]1y,`QC5H%?
原创作者:huar l1yJ}H/K w
原创出处:3.A.S.T网络安全团队[url]http://www.3ast.com.cn/[/url]
偶然遇见个站,所以就有了下面的简单教程(仅供还不会入侵的朋友参考)
1.绕过本地验证进后台
2.数据库备份拿webshell.
3.找路径被修改的ewebeditor编辑器2nEUmD6?p
4. ewebeditor直接够造上传j,bv-EAH9m
5z_W*c(V{
大牛huar的思路很明确!值得我们小菜学习
1.绕过本地验证进后台wx&RZ8tob&V4h
当看到这的时候 由于经验不足很迷茫!H1]K*V9W
本地验证 怎么进去了? 看看帖子也没讲原理!ow6n7E-a'J1c
好多跟帖的也不会!Pp f:OiA#?r
作者也没讲原理!所以小弟就找下资料 '|W3ok:]f%_
给大家讲下!大牛莫笑 嘿嘿&h/D.M#ts%z+{3nJ
首先 这算个漏洞把!因为并不是所有的网站系统都可以的!/h#EL0s6f7p/hUm
找个这样系统的站给大家演示下! f` F)qK
普天网络 Design By Love2world
我找到是这个! 找到后台 登陆提示是图1Yq Le] nG
[localimg=180,97]1[/localimg]
h!s[^8I*E e"?mU
接着 我们查看源文件! 图2
[localimg=180,118]2[/localimg]e}K`C
<SCRIPT language=JavaScript>5xHu)g(p ]{.Z u
<!--$x$Cd5lK/P
function CheckForm()
{
if (document.UserLogin.Name.value =="")j#@[ L.Q)M,jh7fHO
{
alert("请填写您的用户名!");(H_oGKn
document.UserLogin.Name.focus();
return false;
}
var filter=/^\s*[.A-Za-z0-9_-]{5,15}\s*$/;v7mI|8`Q5Q7z
if (!filter.test(document.UserLogin.name.value)) { +C0faiv+r
alert("用户名填写不正确,请重新填写!可使用的字符为(A-Z a-z 0-9 _ - .)长度不小于5个字符,不超过15个字符,注意不要使用空格。");
document.UserLogin.Name.focus();r e8[hH}~ GU#h
document.UserLogin.Name.select(); SO)?)p/l
return false;
}
if (document.UserLogin.Pwd.value =="")
{
alert("请填写您的密码!");
document.UserLogin.Pwd.focus();9G D/i{I
return false;
}