自由动力(My Power)3.6 sp2的注入漏洞
影响版本:3.6 sp2/Easypower4.0以下免费版本
漏洞描述:
详细说明:自由动力3.6 sp2中多个文件过滤不严存在注入漏洞
下列文件匀存在被注入的危险:
Article_Class.ASP
Photo_Class.asp
Soft_Class.asp
UserInfo.ASP
<*参考
http://www.gaisoft.com/2005/1-3/01013.html
*>
SEBUG安全建议:
下载官方提供最新补丁,http://www.asp163.net
测试方法:
使用破解版的NBSI轻松注入:
http://www.target.com/UserInfo.asp?UserID=1
注意:特征字符填写 id
即可破解.
其他文件关键在于特征字符的找寻,即可注入.
如轻松获得admin表里的管理员名和md5加密后的密码.如果暴力破解成功,再利用数据
页:
[1]