魔方网络摄影系统注入漏洞及利用

  • A+
所属分类:lcx

魔方网络摄影系统

注入点:/news.php?action=detail&id=[SQLi]

利用方法,第一步通过注入点获取管理员账号和密码,密码居然是明文的

魔方网络摄影系统注入漏洞及利用
第二步,后台地址为/admin.php,进去管理后台试图拿webshell

魔方网络摄影系统注入漏洞及利用
第三步,通过iis6解析漏洞,上传.asp;.jpg一句话木马

魔方网络摄影系统注入漏洞及利用
第四步,菜刀连接一句话木马

魔方网络摄影系统注入漏洞及利用
第五步,进一步提权,拿下服务器。。。


给力啊 随便 找个站就直接3389了(mysql 插件执行shell 还是SYSTEM....)

223.5.8.*:21
223.5.8.*:3306
223.5.8.*:80
223.5.8.*:3389
root:123456789:localhost
root:123456789:%

因该是统一建站的 连 mysql 密码都是明文 无语啊.... 估计见一个死一个 不是密码为空 就是明文 getshell 有时间 看看有没有其他的包含漏洞cgi过滤 太恶心了

其实cgi 嘛你懂的像这个 http://www.new*****sfg.com/data/attachment/1.php;1.jpg
不一定有效
FastCGI Error

The FastCGI Handler was unable to process the request.
Error Details:

Could not find entry for "jpg" on site 236134254 in [Types] section.
Error Number: 1413 (0x80070585).
Error Description: ÎTD§Ë÷òy¡£
HTTP Error 500 - Server Error.
Internet Information Services (IIS)

文章来源于lcx.cc:魔方网络摄影系统注入漏洞及利用

相关推荐: Xiuno BBS XSS Vulnerability 简单的xss白盒分析

前言 刷微博的时候看到到seay发个了霸气外泄的cms,官方介绍 Xiuno 这个名字来源于圣斗士星矢白羊座的黄金圣斗士修罗,他的攻击速度和战斗力是十二宫最强的,他是速度和力量的化身;在佛教里面,修罗为六道之一,处于人道和天道之间的一道,半人半神,性情刚烈,好…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: