ShyPost企业网站管理系统V4.3注入XSS漏洞及后台拿webshell

猴岛论坛 QQ微信技术 ShyPost企业网站管理系统V4.3注入XSS漏洞及后台拿webshell

倒序阅读最近浏览的帖子最近浏览的版块

« 返回列表

10个回复

[QQ技术]ShyPost企业网站管理系统V4.3注入XSS漏洞及后台拿webshell

楼层直达

ZxID：50120095

等级: 中将

　　　　　

灌水天才奖

魅力会员奖

财富大师奖

鼎立支持奖

举报只看楼主使用道具楼主发表于: 2014-07-10 0

程序源码下载:http://www.codefans.net/down/17002.shtml
①注入漏洞
②后台XSS漏洞

③编辑器漏洞拿webshell

①注入漏洞

1.漏洞文件：Aboutus.asp
%>
<!–#include file=”Inc/SysProduct.asp” –>
<%Title=Trim(request(“Title”)) Set rs = Server.CreateObject(“ADODB.Recordset”) sql=”select Content from Aboutus where Title=’”&Title&”‘” rs.open sql,conn,1,3 %>
未过滤

2.漏洞文件：ProductShow.asp
<%
ShowSmallClassType=ShowSmallClassType_Article
dim ID
ID=trim(request(“ID”))
if ID=”” then
response.Redirect(“Product.asp”)
end if

sql=”select * from Product where ID=” & ID & “”
和上边的类似

②后台XSS漏洞
在前台在线留言处写入xss代码，在后台能够成功执行
漏洞文件：FeedbackSave.asp
原因：未过滤

③编辑器漏洞
编辑器版本：【MY动力】 HTML在线编辑器
漏洞代码：
if fileEXT=”asp” or fileEXT=”asa” or fileEXT=”aspx” then
EnableUpload=false
end if
上传未过滤空格，可以登录后台后利用NC伪造包突破上传了,最后利用这个漏洞成功拿到webshell

打赏收藏新鲜事

回复引用

　

ZxID：13555455

等级: 元帅

最佳帅哥奖

灌水天才奖

魅力会员奖

版主勋章

举报只看该作者沙发发表于: 2014-07-10 0

你是叼毛你怕谁

回复引用

　

猴岛巡逻警察

ZxID：16615191

等级: 大将

灌水天才奖

魅力会员奖

举报只看该作者板凳发表于: 2014-07-10 0

需要的可以试试

回复引用

　

　　　　　　龙

ZxID：24094370

等级: 元老

正义勋章

外交大使勋章

特殊贡献奖

金点子奖

精品大师奖

版主勋章

伯乐奖

荣誉勋章

猴岛农场贵族

猴岛十周年纪念勋章

举报只看该作者地板发表于: 2014-07-10 0

不懂这些啊。

回复引用

　

ZxID：29357411

等级: 版主

配偶: 浓酒与歌

QQ图标大神

猴岛QQ技术

猴岛QQ秀

游戏搜集令

纪念勋章

元老勋章

手机达人

活跃功勋

特殊贡献奖

荣誉勋章

娱乐圈勋章

实习版主勋章

回归大使

音乐旋律

水王勋章

影音领先勋章

明星会员奖

电脑技术

心语者

最强王者

猴岛DNF

猴岛飞车达人

CS版块专属勋章

我爱我宠

体育达人

微信勋章

永劫无间

QQ刷钻

举报只看该作者 4楼发表于: 2014-07-10 0

不玩这个

回复引用

　

ZxID：19166607

等级: 大元帅

我想不到的是被你伤了

梦幻游戏

举报只看该作者 5楼发表于: 2014-07-10 0

看不懂哦

Metrosexual party show
···
Are you ready ?

回复引用

　

ZxID：24075848

等级: 元帅

配偶: 岛嶼暮歌

目中有人才有路心中有爱才有度

纪念勋章

灌水天才奖

魅力会员奖

鼎立支持奖

猴岛十周年纪念勋章

欢乐天使奖

白羊座

财富大师奖

举报只看该作者 6楼发表于: 2014-07-10 0

复制辛苦

回复引用

　

ㄣ.ァ狠╁мè

ZxID：19539397

等级: 新兵

举报只看该作者 7楼发表于: 2014-07-10 0

看不懂哦

回复引用

　

ZxID：43610269

等级: 上士

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

举报只看该作者 8楼发表于: 2014-07-10 0

鼠标党

回复引用

　

ZxID：17383348

等级: 下士

举报只看该作者 9楼发表于: 2014-07-10 0

回复引用

　

« 返回列表

手机版
举报邮箱：[email protected]

Copyright © houdao.com, All Rights Reserved.
Powered by PhPWind Total 0.022015(s) query 15, Time now is:12-03 14:27, Gzip disabled