自由动力(My Power)3.6 sp2的注入漏洞

韩小末

影响版本:
3.6 sp2/Easypower4.0以下免费版本
漏洞描述:
详细说明：自由动力3.6 sp2中多个文件过滤不严存在注入漏洞
下列文件匀存在被注入的危险：
Article_Class.ASP
Photo_Class.asp
Soft_Class.asp
UserInfo.ASP
<*参考
http://www.gaisoft.com/2005/1-3/01013.html
*>
SEBUG安全建议:
下载官方提供最新补丁,http://www.asp163.net
测试方法:
使用破解版的NBSI轻松注入：
http://www.target.com/UserInfo.asp?UserID=1
注意：特征字符填写　id
即可破解．
其他文件关键在于特征字符的找寻，即可注入．
如轻松获得admin表里的管理员名和md5加密后的密码．如果暴力破解成功，再利用数据