自由动力(My Power)3.6 sp2的注入漏洞 - 打造国内专业网络安全动画技术交流站点---黑客动画$黑客教程$安全培训$黑软下载$黑客动画教程$黑客软件$黑客工具$菜鸟入门

首页 ┆ 文章中心 ┆ 黑客工具 ┆ 黑吧学院 ┆ 技术论坛 ┆ 安全培训 ┆ 免费频道 ┆ 最近更新 ┆ 瑞星在线杀毒 ┆ 黑吧百度 ┆ 繁體中文


			设为首页加入收藏发布作品

栏目导航

· 漏洞利用	· 脚本注入
· 入侵实例	· 编程代码
· 逆向工程

自由动力(My Power)3.6 sp2的注入漏洞

作者：佚名来源：转载发布时间：2008-10-28 0:49:35 发布人：黑客动画吧

减小字体增大字体

影响版本:

3.6 sp2/Easypower4.0以下免费版本

漏洞描述:

详细说明：自由动力3.6 sp2中多个文件过滤不严存在注入漏洞
下列文件匀存在被注入的危险：
Article_Class.ASP
Photo_Class.asp
Soft_Class.asp
UserInfo.ASP

<*参考

http://www.gaisoft.com/2005/1-3/01013.html

SEBUG安全建议:

下载官方提供最新补丁,http://www.asp163.net

测试方法:

使用破解版的NBSI轻松注入：
http://www.target.com/UserInfo.asp?UserID=1
注意：特征字符填写　id
即可破解．
其他文件关键在于特征字符的找寻，即可注入．
如轻松获得admin表里的管理员名和md5加密后的密码．如果暴力破解成功，再利用数据库备份，可轻松获得一个webshell

[ ] [返回上一页] [打印] [收藏]

上一篇文章：妙用搜索引擎快照突破限制

下一篇文章：oblog4.6添加后台管理员漏洞(仅适用于sql版)

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 网站导航 - 作品发布