某企业网站整站漏洞

By：muhuohacker

关键词 inurl:NewsClass.asp?BigClass=企业新闻

此漏洞主要是因为虽然加入了通用的防注入系统，但在shownews.asp页面没有对cookie传进去的变量做过滤，造成的。

后台地址/admin。
下面说明从查找到获取shell的步骤。
1.在google和百度中搜索此关键词，基本上包含此类漏洞的网站。
2.选取存在漏洞网址，用cookie中转注入工具，获得用户名密码。
3.在添加分类处，添加一句话木马“┼攠數畣整爠煥敵瑳∨≡┩>”
4.在备份数据库处，把数据库备份成后缀名为asp的形式。
5.用客户端连接上传大马！

文章来源于lcx.cc:某企业网站整站漏洞

相关推荐: NucleusCMS 更改管理配置 CSRF 漏洞

By：追心 漏洞说明：     Nucleus是一个用于管理一个或多个blog的工具。它采用PHP4开发并需要MySQL数据库支持。Nucleus具有支持多个写作者，支持先预览 再提交，内置评论与投票系统，自动归档与全文搜索功能，支持RSS/Atom，文件/图…