[讨论]大家一起研究下 DB权限的渗透 权限, 研究, 讨论

richy

[讨论]大家一起研究下 DB权限的渗透
议题作者：唠叨
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

前几天搞一个站 找到一个注入点 是DB权限 asp+mssql 猜表找到一对帐密 估计是管理的 不过找不到后台 直接在IE用'爆出了绝对路径 getwebshell没反映 不成功 通过列目录找到了eWebEditor的后台 默认密码登陆成功 本以为拿webshell会很轻松 不过看了看才发现 样式设置不能改 新建样式又出下面的提示

Microsoft JET Database Engine 错误 '80040e09'

不能更新。数据库或对象为只读。

eWebEditor/admin_style.asp，行475

估计getwebshell失败也是数据库的原因 同服务器就这一个站 用xscan扫了下 根本检测不到存活主机
我会的不多 能检测的都检测了 不知道下面该怎么办了 各位大牛帮帮忙吧
帖子8 精华0 积分27 阅读权限40 在线时间30 小时 注册时间2006-8-29 最后登录2007-9-30 查看详细资料TOP 赚更多的钱

十二少
荣誉会员