老早发乌云上了,但好像没人重视。也发t00ls下供大家研究。因首发不在t00ls,这里我就选转载吧。
厂商是www.open.edu.cn
一些注入BUG加默认路径问题,全是电大类机构。之前数据连接的inc文件.可用下载工具下载得到。上面统一安装的系统所以下面服上基本都在这个路径:D:wwwincludeodbc.inc,现在试过不行了。现在有些系统升级成了.net版本,但注入漏洞等都还在。
keywords:D:wwwincludeodbc.inc
公告处上传。
权限太大,提权简单,但都内网。
注射点蛮多,类似
research/research_result.php?id=1
root/teacher/admin_search.php
电大学生信息很多。。。可以找几个妹子聊聊天也不错
程序结构和详细信息可以按这个标题在GG上搜索获取。这里就不贴了。
文章来源于lcx.cc:电大在线在线远程教学平台注射bug
通常HTTP消息包括客户机向服务器的请求消息和服务器向客户机的响应消息。这两种类型的消息由一个起始行,一个或者多个头域,一个只是头域结束的空行和可选的消息体组成。HTTP的头域包括通用头,请求头,响应头和实体头四个部分。每个头域由一个域名,冒号(:)和域值三部…
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论