在让学生宿舍和教科办的线路走局域网(不经电信直接到达),发现有登录框,尝试用 ' or ''=' ,结果进入成功,说明存在注入漏洞。使用 ' or user='dbo, 登录成功,说明是使用sa用户连接;密码框中输入 ';exec master.dbo.xp_cmdshell 'ping 192.168.1.2';--,防火墙有反应,说明可以直接使用xp_cmdshell执行命令,危害极大。打电话通知教科办,但是关系到程序的处理,解释起来不一定明白,看来只能简单的叫他不用sa连接了,没有办法。郁闷。
后记:已经通告了,但是后来发现根本就没有改,还是照样运行,难道真的要等别人把所有的数据都删除了才会着急? 难怪现在这么多的入侵高校站点的文章!