首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册
安全知识 :: 脚本攻防

自由动力(My Power)3.6 sp2的注入漏洞


http://www.gipsky.com/
影响版本: 3.6 sp2/Easypower4.0以下免费版本

漏洞描述:

详细说明:自由动力3.6 sp2中多个文件过滤不严存在注入漏洞

下列文件匀存在被注入的危险:

Article_Class.ASP

Photo_Class.asp

Soft_Class.asp

UserInfo.ASP

<*参考 http://www.gaisoft.com/2005/1-3/01013.html<B>*></B>

SEBUG安全建议:

下载官方提供最新补丁,http://www.asp163.net

测试方法:

使用破解版的NBSI轻松注入:http://www.target.com/UserInfo.asp?UserID=1注意:特征字符填写 id即可破解.其他文件关键在于特征字符的找寻,即可注入.如轻松获得admin表里的管理员名和md5加密后的密码.如果暴力破解成功,再利用数据库备份,可轻松获得一个webshell
<< 揭开微软背后的“黑屏魔咒” 3389新思路 >>
API:
gipsky.com& 安信网络
网友个人意见,不代表本站立场。对于发言内容,由发表者自负责任。

系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备14013333号-8