南方数据后台的WEBSHEL

最新推荐文章于 2024-05-14 15:56:42 发布
最新推荐文章于 2024-05-14 15:56:42 发布
阅读量483 收藏 1
点赞数
分类专栏: # 网站webshell 文章标签: mysql php 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50854662/article/details/123919591
版权

南方数据企业系统,后台上传截断拿webshell

  1. 在“新闻资讯”-“添加新闻”模块中,在“新闻图片”中点击“上传”按钮,会出现一个弹窗,复制弹窗的地址,在新标签页中打开

在这里插入图片描述

  1. 本地准备个asp类型的一句话木马:<%eval request("cmd")%>

在这里插入图片描述

  1. BurpSuite拦截

在这里插入图片描述

在路径后面添加 hack.asp%00 ,并对%00编码
在这里插入图片描述

进行URL编码之后,正常情况下应该出现一个有点像汉字“口”的东西,如果没有出现,就说明哪里出问题了。
(也完全可能是编码成功,只是字体原因导致的这种显示结果)
在这里插入图片描述

换个版本的BurpSuite,并重置一下BurpSuite。显示出“口”了,然后修改一下文件后缀,上传失败。
在这里插入图片描述

上网查了一下,是文件内容太少了,填充些垃圾数据,重新上传。
在这里插入图片描述

  1. 上传成功

在这里插入图片描述

  1. 连接菜刀

在这里插入图片描述

zxl2605
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
良精南方网站系统拿webshell的教程
03-06
通过利用良精南方系统的漏洞,实现进入网站后台,并上传 。马,得到一个webshell的教程,讲述详细,一看就会。利用该方法,可以配合工具实现批量拿站。
南方数据 企业管理系统
11-02
南方数据 企业管理系统 所有模块齐全,后台代码全部是明文,适合学习和下载使用
125.网络安全渗透测试—[CMS后台 getwebshell]—[南方数据 nfsj v18后台 getwebshell]
qwsn
07-11 5752
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 进入后台---->系统管理---->网站信息设置---->上传网站log---->选择asp图片马(密码为123)使用Burp抓包---->送入Reapeater模块---->SaveToPath的值修改为: (截断记得url解码)---->发送该包并且放开拦截---->asp马位置:传送门......
Gitlab、Redis、Nacos、Apache Shiro、Gitlab、weblogic相关漏洞
最新发布
qq_55202378的博客
05-14 866
weblogic密码使用AES(老版本3DES)加密,对称加密可解密,只需要找到用户的密文与加密时的密钥即可。这两个文件均位于base_domain下,名为。Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。是base_domain的全局配置文件,所以乱七八糟的内容比较多,找到其中的。点击我们刚刚部署的war包,然后启动即可获取反弹shell。,用户名为weblogic,密码为Oracle@123。,用户名为root,密码为vulhub123456。,实现任意文件下载。
南方数据企业网站管理系统 v7.0
05-18
南方数据企业网站管理系统 V7.0新增功能:1.根据用户反馈的要求,在线订购改在了在线询价,如用户有要求,也可以换成在线购物;2.首页产品列表能以树型形式显示小类,同时解决目前同类网站在打开页面不能保留二级小类的问题;3.新增了网站的统计功能;4.新增了新闻的评论功能,这功能可以在后台的网站配置中开启或关闭;5.后台增加了新闻评论的管理功能;6.修改了下载中没有图片显示空白的功能;7.把产品的查询后的显示修改成了产品展示一样;8.美化下载的页面;9.完善了产品详细说明页面;10.完善前后台登陆系统安全性;11.优化了数据库文件;12.修正所有发现的小错误;13.美化页面;
良精cms php版漏洞,南方数据、良精系统、网软天下漏洞利用
weixin_36330518的博客
03-10 828
1、通过upfile_other.asp漏洞文件直接取SHELL直接打开userreg.asp进行注册会员,进行登录,(在未退出登录的状态下)使用本地上传文件进行上传代码如下:BODY {FONT-SIZE: 9pt; BACKGROUND-COLOR: #e1f4ee}.tx1 {BORDER-RIGHT: #000000 1px solid; BORDER-TOP: #000000 1px s...
PHP-Webshel​​l-Dataset:Github上来自17个Webshel​​l收集项目PHP Webshel​​l的干净数据
02-18
PHP-Webshel​​l-数据集我们构建了一个干净的Webshel​​l数据集,其中包含来自17个Webshel​​l收集项目的2,917个样本# Github项目0 1个 2 3 4 5 67 8 9 1011 12 13 14 15 16由于每个github项目收集的webshel​​...
webshel​​l:这是一个webshel​​l开源项目
02-05
webshel​​l | 这是一个webshel​​l收集项目 送人玫瑰,手有余香,如果各位下载了本项目,也请您能提交shell 本项目涵盖各种常用脚本 如:asp,aspx,php,jsp,pl,py 如提交各种webshel​​l,请勿更改名称和...
webshellgg:ml webshel​​lgg项目
03-18
webshellgg:ml webshel​​lgg项目
fuckshell:简单的 Webshel​​l 扫描器
07-01
"简单的 Webshel​​l 扫描器"意味着该工具设计简洁,易于使用,它通过字典方式来识别常见的Webshell文件。字典包含了一系列已知的Webshell代码片段或文件名,扫描器会比对目标服务器上的文件与这些模式,从而找出...
南方数据9.0南方数据9.0
07-03
南方数据9.0南方数据9.0
南方数据源码.zip
06-25
南方数据5.0源码,用于WEB测试非常好用,配合BURP美滋滋
cookie-sql-南方数据网站
10-05
这是一个存在漏洞的网页,它可用于获取cookie来进行SQL注入,很方便。
南方数据网站管理系统正式版5.0
02-23
南方数据企业网站管理系统 V5.0新增功能:1.全新的前台设计;2.全新后台产品信息编辑器,增加了动态FLASH做为产品的图片;3.用户在后台可以随意更换前台的界面,同时用户也通过插件的方式增加、导入第三方或自己设计的界面和和导出界面;4.增加了网站公告的修改功能5.企业荣誉和企业形象图片自动加入到路径6.增加了SQL过滤功能7.美化和优化了前台页面;8.完善前后台登陆系统安全性;9.增加管理员公告的修改管理;10.完善前后台所有文件的安全性;11.优化了菜单文件12.修正所有发现的小错误;13.美化页面;JS分类调用说明:1,一级分类调用:表示调用一级分类中的 国内新闻 6条2,二级分类调用:表示调用 国内新闻 下的二级分类 本地新闻 8条3,最新新闻调用:表示调用10条最新新闻4,图片新闻调用:5,网站根目录下调用: 调用最新10条新闻 调用全部新闻JS调用演示页面:test.htm
南方数据1.0源码
04-22
南方数据1.0源码,上古的网站模板,包含各种经典的安全漏洞,拿来练手测试非常好。
WebShells:Webshel​​l漏洞注入列表
05-12
Webshel​​l漏洞注入列表。 #History这是PHP脚本后门的列表,允许攻击者破坏网站并获得对数据库和敏感目录的完整访问权,基本上是PHP Backdoor Web应用程序Trojan,它可以完全入侵任何网站并获得完整的数据库。 ...
[B]南方数据企业网站管理系统V14+Build+0701+ASP+源码免费版[+B]
10-17
南方数据建站的网站源码,可是适合中小型的企业管理网站,实在很好用,个人推荐!
南方数据管理员添加未授权访问漏洞
番薯道长的博客
11-19 1872
南方数据注入漏洞基本都知道了 现在是个所谓的黑客出两套教程里面必有这个漏洞的教程。 但是这个方法经常遇到解不出管理员MD5的情况,其实存在注入漏洞 一般未授权访问漏洞也没修复。 /admin/adminmailto.asp 直接访问 网页文章空白 可以ctrl+a 全选网页就能看见了 然后自行添加一个管理员帐号即可 还有admin路径是后台路径 比如后台地址被修
利用南方数据企业0day漏洞批量入侵
04-24
利用南方数据企业0day漏洞批量入侵
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值