ShyPost企业网站管理系统V4.3注入XSS漏洞及后台拿webshell

猴岛论坛 QQ微信技术 ShyPost企业网站管理系统V4.3注入XSS漏洞及后台拿webshell

倒序阅读最近浏览的帖子最近浏览的版块

« 返回列表

10个回复

[QQ技术]ShyPost企业网站管理系统V4.3注入XSS漏洞及后台拿webshell

楼层直达

ZxID：50120095

等级: 中将

　　　　　

灌水天才奖

魅力会员奖

财富大师奖

鼎立支持奖

举报只看楼主使用道具楼主发表于: 2014-07-10 0

程序源码下载:http://www.codefans.net/down/17002.shtml
①注入漏洞
②后台XSS漏洞

③编辑器漏洞拿webshell

①注入漏洞

1.漏洞文件：Aboutus.asp
%>
<!–#include file=”Inc/SysProduct.asp” –>
<%Title=Trim(request(“Title”)) Set rs = Server.CreateObject(“ADODB.Recordset”) sql=”select Content from Aboutus where Title=’”&Title&”‘” rs.open sql,conn,1,3 %>
未过滤

2.漏洞文件：ProductShow.asp
<%
ShowSmallClassType=ShowSmallClassType_Article
dim ID
ID=trim(request(“ID”))
if ID=”” then
response.Redirect(“Product.asp”)
end if

sql=”select * from Product where ID=” & ID & “”
和上边的类似

②后台XSS漏洞
在前台在线留言处写入xss代码，在后台能够成功执行
漏洞文件：FeedbackSave.asp
原因：未过滤

③编辑器漏洞
编辑器版本：【MY动力】 HTML在线编辑器
漏洞代码：
if fileEXT=”asp” or fileEXT=”asa” or fileEXT=”aspx” then
EnableUpload=false
end if
上传未过滤空格，可以登录后台后利用NC伪造包突破上传了,最后利用这个漏洞成功拿到webshell

打赏收藏新鲜事

　

ZxID：13555455

等级: 元帅

最佳帅哥奖

灌水天才奖

魅力会员奖

版主勋章

举报只看该作者沙发发表于: 2014-07-10 0

你是叼毛你怕谁

　

猴岛巡逻警察

ZxID：16615191

等级: 大将

灌水天才奖

魅力会员奖

举报只看该作者板凳发表于: 2014-07-10 0

需要的可以试试

　

　　　　　　龙

ZxID：24094370

等级: 元老

正义勋章

外交大使勋章

特殊贡献奖

金点子奖

精品大师奖

版主勋章

伯乐奖

荣誉勋章

猴岛农场贵族

猴岛十周年纪念勋章

举报只看该作者地板发表于: 2014-07-10 0

不懂这些啊。

　

ZxID：29357411

等级: 版主

配偶: 浓酒与歌

QQ图标大神

猴岛QQ技术

猴岛QQ秀

游戏搜集令

纪念勋章

手机达人

活跃功勋

元老勋章

水王勋章

荣誉勋章

娱乐圈勋章

回归大使

音乐旋律

影音领先勋章

实习版主勋章

明星会员奖

电脑技术

心语者

最强王者

猴岛DNF

猴岛飞车达人

CS版块专属勋章

我爱我宠

体育达人

微信勋章

永劫无间

举报只看该作者 4楼发表于: 2014-07-10 0

不玩这个

　

ZxID：19166607

等级: 大元帅

我想不到的是被你伤了

梦幻游戏

举报只看该作者 5楼发表于: 2014-07-10 0

看不懂哦

Metrosexual party show
···
Are you ready ?

　

ZxID：24075848

等级: 元帅

配偶: 岛嶼暮歌

目中有人才有路心中有爱才有度

纪念勋章

灌水天才奖

魅力会员奖

鼎立支持奖

猴岛十周年纪念勋章

欢乐天使奖

白羊座

财富大师奖

举报只看该作者 6楼发表于: 2014-07-10 0

复制辛苦

　

ㄣ.ァ狠╁мè

ZxID：19539397

等级: 新兵

举报只看该作者 7楼发表于: 2014-07-10 0

看不懂哦

　

ZxID：43610269

等级: 上士

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

举报只看该作者 8楼发表于: 2014-07-10 0

鼠标党

　

ZxID：17383348

等级: 下士

举报只看该作者 9楼发表于: 2014-07-10 0

　

« 返回列表

手机版
举报邮箱：[email protected]

Copyright © houdao.com, All Rights Reserved.
Powered by PhPWind Total 0.018684(s) query 15, Time now is:05-19 00:04, Gzip disabled