您当前的位置:首页 > 最新文章/业内新闻

渗透不锈钢带网

时间:2011-05-31 11:21:54  来源:心芯文章  作者:心芯 QQ:31855347

 某日在网上闲逛见到一个商业网站什么不锈钢带的 http://www.dgjunyue.com,哈哈。没事帮他检测下。
看了下整站,纯静态?晕……
再仔细看了看,有个搜索的……呼呼。输入一个 ’测试下,晕防注入,但是我知道这是伪静的。
再仔细看看,找到了一个shownews.asp的界面。貌似这个以前看过,是再上网搜了下,感觉有可能是
冠龙科技的,不管是冠龙科技的2009还是旗舰版还是最新的V9.2都存在Cookies注入。
我下载了一个V9.2的版本看了看
发现了productshow.asp的部分代码
ShowSmallClassType=ShowSmallClassType_Article
dim ID
ID=trim(request("ID"))
if ID="" then
 response.Redirect("Product.asp")
end if
sql="select * from glProduct where ID=" & ID & ""
Set rs= Server.CreateObject("ADODB.Recordset")
rs.open sql,conn,1,3
虽然加了防注入系统,但是都知道通用的防注入系统只过滤post和get2种方式,对Cookies方式根本就没管
先不管别的,我尝试了下默认数据库 Databases/%23Database.mdb
晕,就这么下载下来了…… http://www.dgjunyue.com 就这么搞定了
好了其他的就是继续分析网站了,得到了一个简单的0DAY
Google:格式0571-85635810    默认后台:admin/login.asp   EXP:Databases/%23Database.mdb
文章到这没有了,很简单,希望大家可以学习。网站拿到后台后联系了站长,漏洞已经OVER。

来顶一下
近回首页
返回首页
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
推荐资讯
网页防篡改核心技术探讨(一)静态页面(原创)
网页防篡改核心技术探
Discuz! X2 SQL注射漏洞,支持Union
Discuz! X2 SQL注射漏
关于千博CMS系统
关于千博CMS系统
什么是robots.txt要怎么写?
什么是robots.txt要怎
相关文章
    无相关信息
栏目更新
栏目热门