ZDSoft网站生成系统漏洞

没穿底裤
没穿底裤
没穿底裤
714
文章
0
评论
2019年12月31日19:21:35评论460 views字数 370阅读1分14秒阅读模式
摘要

ZDSoft网站生成系统严重漏洞,可导致网站服务器直接被拿到最高权限、1.后台权限绕过漏洞
http://www.zdsoft.net/admin/left.aspx 后台菜单
如果没有登录,就会js跳转到登录页,禁用js就可继续访问,后台部分文件限制了权限,不过可以修改网站用户密码是没问题的
http://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx
此处可以执行sql,就不用登录了

ZDSoft网站生成系统严重漏洞,可导致网站服务器直接被拿到最高权限、

1.后台权限绕过漏洞
http://www.zdsoft.net/admin/left.aspx 后台菜单
如果没有登录,就会js跳转到登录页,禁用js就可继续访问,后台部分文件限制了权限,不过可以修改网站用户密码是没问题的
http://www.zdsoft.net/Admin/sqlPlatform/operateSql.aspx
此处可以执行sql,就不用登录了

2.http://www.zdsoft.net/Admin/sqlPlatform/sqlLogin.aspx
此处是SQL操作平台,除去上面绕过的漏洞,还可以直接登录,用户名和密码是固定的
用户名:sbwSqlAdmin 密码:sbwPass@word1
zdsoft大部分网站数据库用户都是sa,所以此漏洞非常严重

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
没穿底裤
  • 本文由 发表于 2019年12月31日19:21:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   ZDSoft网站生成系统漏洞https://cn-sec.com/archives/75148.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息