ISCC比赛归来,被大神虐,总有一些蛋疼,于是拿自己学校泄愤一下,找到了威海分校的主页,拿wvs一顿狂扫,整理结果如下。
后台的地址(均尝试过万能密码,怀疑那些一式万能密码就成功地人是什么人品):
校长信箱的后台地址
http://www.hitwh.edu.cn/box/old/login.htm
网站使用了FCMS,后台有两个,默认密码分别是admin8 admin8(后台) admin admin (留言管理),发现后台密码被修改了,留言管理密码是默认的。
百度FCMS这个内容管理系统,并没有发现什么漏洞,比较蛋疼。
登录进留言板后台,发现了服务器的相关信息。
物理路径是G盘,这说明服务器貌似分了很多盘,ISS版本6.0存在解析漏洞
以及服务器解析引擎VBScript/5.6.8850
在里面找了一下,发现一个备份数据库和压缩数据库的地方,备份数据库会直接提示成功,压缩数据库会提示失败,并爆出了数据库的地址,
果断拉到迅雷里下载,未果。下载一个FCMS,本地查看该数据库内容,发现保存了留言及管理员信息,密码是MD5加密的,不过仅限于留言本的
管理员,下载下来之后也没有什么实际作用。
Microsoft JET Database Engine 错误 '80040e09'
Microsoft Jet 数据库引擎打不开文件'G:\wwwroot\机构及院系\jigou\xsjjt\guestbook\db\syw