设为首页收藏本站
切换到窄版

WPE|52wpe|我爱WPE

 找回密码
 注册会员
搜索
返回列表 发新帖
  • 2623查看
  • 1回复

[经验分享] 利用流行企业管理系统注入漏洞批量入侵网站

包子铺、老总

主题

好友

870

积分

高级会员
发表于 2009-8-16 17:51:16 |显示全部楼层
良精企业管理系统注入漏洞


漏洞文件:

en/DownloadShow.asp

chinese/DownloadShow.asp

漏洞利用:

在百度键入:
inurl: (DownloadShow.asp?DownID=)

在谷歌键入:
allinurl: DownloadShow.asp?DownID=

获得搜索页面地址复制下来.打开阿D2.32.将地址粘贴到检测地址栏里就会看到软件下方有很多可用注入点

比如:http://www.ioptron.cn/Chinese/DownloadShow.asp?DownID=50

删除:Chinese/DownloadShow.asp?DownID=50

在域名后面加上后台路径:BOSS 也就是http://www.ioptron.cn/boss/

漏洞说明:
downid,过滤不严,导致sql注入的产生


本人目前在制作本漏洞的教程,有需要的回复留下邮箱我传给你。
回复

使用道具 举报

老蹄子

主题

好友

4

积分

新手上路
发表于 2009-9-8 15:09:09 |显示全部楼层
能找到很多注入点,但在后台要怎么拿webshell呢?抓包抓了好多野拿不到?
麻烦您传给我教程!465304942@qq.com
回复

使用道具 举报

返回列表 发新帖

快速发帖

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册会员

手机版|Archiver|WPE|52wpe|我爱WPE ( 闽ICP备15009081号 )

GMT+8, 2024-5-3 03:19 , Processed in 0.058492 second(s), 17 queries .

返回顶部