当前位置:首页 >> 网络通讯 >> 网络安全 >> 内容

TXQASP博客 v1.0 豪华版注射漏洞及后台拿webshell 及修复

时间:2013/4/19 12:09:00 作者:平凡之路 来源:xuhantao.com 浏览:

影响版本:TXQASP博客v1.0 豪华版注射漏洞
 
下载地址:
 
漏洞文件:index.asp
 
你妹的,涛涛电脑知识网,首页都带漏洞
 
漏洞代码:
 
<%
rz_flid=request("class_id")
Set rs=server.CreateObject("adodb.recordset")
sql="select * from rizhi order by rz_time desc"漏洞原因:未过滤
 
漏洞利用:懒得手工了,www.xuhantao.com,直接工具跑。
 
添加表:txq_admin   添加字段:txq_username    txq_password
 
修补方案:

过滤呗,还能咋地
 
至于后台拿WEBSHELL嘛,存在数据库备份,利用IIS6解析漏洞加上如果备份文件名最后是.asp的话,被分出来的直接是一个.asp格式的数据库........下面自由发挥了
 
转自:90sec.org

相关文章
  • 没有相关文章
共有评论 0相关评论
发表我的评论
  • 大名:
  • 内容:
  • 徐汉涛(www.xuhantao.com) © 2024 版权所有 All Rights Reserved.
  • 部分内容来自网络,如有侵权请联系站长尽快处理 站长QQ:965898558(广告及站内业务受理) 网站备案号:蒙ICP备15000590号-1