尘缘雅境图文系统多个页面存在SQLInjection漏洞

最新推荐文章于 2021-03-23 06:01:52 发布
最新推荐文章于 2021-03-23 06:01:52 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: 技术文档 文章标签: build asp 加密 测试 url
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lake2/article/details/58547
版权
我是在尘缘雅境图文系统V3.0(沸腾修改版)build20030123版本发现
经过实地测试,原版也存在此漏洞。只是修改版密码用了md5加密

存在漏洞页面:type.asp,Special_News.asp(可能还有,由于时间关系,我就不看了^_^)
确定存在漏洞之页面:type.asp,我利用这个页面SQLInjection拿到某学校网站的后台权限。不过在后台管理里不能上传asp文件,前段时间动网爆出了文件上传漏洞,不知道可不可以利用,还望高手指点

漏洞原因:没有过滤提交的url参数

关于SQLInjection漏洞的具体利用,呵呵,资料网上多的是,这里就不多说
lake2
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
图文系统(沸腾3as修改版) v0.45 Finish 完整版.rar
07-05
修正说明: 1.最新安全补丁2004-2-16。 2.数据库防下载处理(升级用户请按完整版内的说明自行修改) 3.其他小的修正 4.用户列表分页显示 5.重写图片、文章、网址模版 6.WMF插入参数修正
图文系统(沸腾3AS修改版)完整版 v0.41 SP1.rar
08-30
更新修正: 1.字数的限制问题的补丁 2.文章修改后保持原来上传的时间 3.修正完善总栏模板(图片产品、新闻媒体、网址推荐、软件文章) 4.修正编辑留言头像改变的bug 5.留言即时显示选择头像,留言簿叶面美化 6.后台添加叶面版权保护开关和论坛显示开关 7.增加浮动广告开关,浮动广告连接、图片、地址后台编辑 8.修正首页最新图文,及新闻调用代码 9.首页添加经典的防IP刷新阿江简易计数器 V0.95 10.解决了FLASH挡住菜单的问题 11.新闻增加广告,后台控制开关 12.全面的安全补丁 超级管理员:base 密码:feitium 广告管理员及密码相同
图文系统 v3.0 SQL版
10-18
图文系统 v3.0 SQL版
图文系统 v3.0 2003版(沸腾修改版0.31忧郁蓝)
08-28
忧郁蓝,适用于商业,娱乐,软件,计算机,设计类站点
SQL注入漏洞,攻防必杀技!
Mr.Sun
10-29 1793
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入原理导致SQL注入攻击的漏洞并非系统造成的,主要是程序员在编程中忽略了安全因素,他的原理并不复杂。 引 言   随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。
php学校管理系统漏洞,新世纪学校网站管理系统漏洞继承性利用(另类技巧)...
weixin_29430691的博客
03-23 250
大家不要拿这个网站做测试了,漏洞,我补了新世纪网站继承漏洞技巧 BY 阿宣又和大家见面了,这次是一个这样的系统我已经遇见好多次了,这次朋友让帮忙,看来不得不研究一下了为什么起这个题目呢呵呵 但就因为这个系统关闭了注册功能(以前沸腾3AS流浪新闻系统是开放的,我们可以利用),当然什么上传漏洞也没有了,那我们怎么去利用这个系统拿到后门呢起初我第一次看到这个系统,就感觉是过去“沸腾3AS流...
C语言动态链表实现KTV点歌系统
gaohuanjie的专栏
12-25 7363
实现代码: #include <stdio.h> #include <string.h> #include <stdlib.h> struct Song { int time;//播放次数 char name [30];//歌名 char author [36];//作者 char content [1200];//歌词 ...
有孔就入 SQL Injection的深入探讨
zgqtxwd的专栏
05-01 203
<!--google_ad_client = "pub-2947489232296736";/* 728x15, 创建于 08-4-23MSDN */google_ad_slot = "3624277373";google_ad_width = 728;google_ad_height = 15;//--><script type="text/javascript"
图文系统(沸腾修改版0.24清爽蓝)
08-29
超级管理员:base
图文系统SQL版 V3.0
06-11
1、完成了注册用户上传头像及更改功能<br>2、可视化编辑添加了可添加网上多种媒体文件的功能(图片、Media Player文件、RealPlay文件、Flash文件)(终于实现了)3、修正了在1021版中所发现的一些bug。
图文系统(沸腾3AS修改版)完整版 v0.41 SP1
08-27
更新修正:
图文系统(沸腾3as修改版) v0.45 build 1版
08-27
增加修正:
图文系统 19design修改版
08-27
图文系统 19design修改版
图文系统(沸腾3AS修改版) v0.4豪华版升级到 v0.41sp1.rar
08-30
图文系统(沸腾3AS修改版) v0.4豪华版升级到 v0.41sp1
绕过md5验证继续入侵
~缘份天空~
06-07 2649
 ; 很多大侠都是通过查看程序的源代码发现漏洞的。但是由于我才刚开始学ASP,所以还没有达到这种界。虽然搜索漏洞不方便,但偏偏一些程序就让被我找出来点东西。 自从以前看了个"动网upfile漏洞利用动画",我对抓包修改有了初步了解。当时就感觉用途不只是上传那么简单。于是爱死了WinSock Expert,经常有事没事拿着他分析下提交的数据包。往往在不经意间,有很大的收获。最近就用它发现了几个安全
入侵网站的各种漏洞的利用和搜索参数
寒冬玉
03-24 898
一、E时代驿站漏洞    百度搜索"E时代驿站"    漏洞利用页面 /upload.asp 用老兵直接上传    二、沸腾新闻系统上传漏洞    搜索:沸腾展望新闻系统[核心:]授权使用    漏洞:没有对空格进行严格的限制。    所以,我们直接选定要上传的asp木马,然后在后面加上空格    它的上传文件是UploadFaceOK.asp    三、    在GOOGLE里搜
写一个水仙花数判断代码
最新发布
03-25
num = int(input("请输入一个三位数:")) # 从用户输入获取数字 # 计算每一位数的立方和 digit_1 = num % 10 digit_2 = num // 10 % 10 digit_3 = num // 100 sum_cubes = digit_1 ** 3 + digit_2 ** 3 + digit_3 *...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值