By:muhuohacker
关键词 inurl:NewsClass.asp?BigClass=企业新闻
此漏洞主要是因为虽然加入了通用的防注入系统,但在shownews.asp页面没有对cookie传进去的变量做过滤,造成的。
后台地址/admin。
下面说明从查找到获取shell的步骤。
1.在google和百度中搜索此关键词,基本上包含此类漏洞的网站。
2.选取存在漏洞网址,用cookie中转注入工具,获得用户名密码。
3.在添加分类处,添加一句话木马“┼攠數畣整爠煥敵瑳∨≡┩>”
4.在备份数据库处,把数据库备份成后缀名为asp的形式。
5.用客户端连接上传大马!
文章来源于lcx.cc:某企业网站整站漏洞
相关推荐: NucleusCMS 更改管理配置 CSRF 漏洞
By:追心 漏洞说明: Nucleus是一个用于管理一个或多个blog的工具。它采用PHP4开发并需要MySQL数据库支持。Nucleus具有支持多个写作者,支持先预览 再提交,内置评论与投票系统,自动归档与全文搜索功能,支持RSS/Atom,文件/图…
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论