博主在乌云平台发现西部数码的一个分站存在注入漏洞,后证实为PHPWEB成品网站超市的安全问题。尽管西部数码称是第三方问题,但测试发现PHPWEB官网也存在相同漏洞。此漏洞细节和利用方法被公开,包括后台地址和注入URL。2010年PHPWEB曾曝出类似问题,但似乎未彻底修复。博客提供了利用方法链接,提醒相关人员注意安全并及时修补。
今天早上去乌云逛的时候,看到西部数码分站被爆注入,于是就关注了一下。
然后到下午没想到就公开了,一看原来是phpweb成品网站超市。
西部数码说是第三方就忽略了,蛋疼。你这忽略想我就想到,既然你们西部有那其他的网站也应该有,于是邪恶
测试phpweb官网,存在啊。
既然没有修复,我就发一下,可能很多大牛,已经放着有了,没有发出来,自己内部在玩。
百度看了看,2010年的时候爆过一个注入,貌似修复了。
http://www.0855.tv/post/1.htm
注入地址:down/class/index.php?myord=1
后台地址:admin.php
后台拿shell方法,
请看。http://cache.baidu.com/c?m=9f65cb4a8c8507ed4fece763104687270e54f7336284814c2f87d15f93130601127bb7e667654f13d3b23e3d43b84828b5ad6065367564eccc8dce109decc17e388823722b4a914064d319a5c852609c60c655abf55ba2eda02592dec5a2a94327c044737d9780fc4d0164dd1ffb034792b1e84a022866adec40728e2d6059983431c05089e1256f779686ae4b38c23da11006e4a522b14e4be245ff59&p=8b2a9641ca8508ff57ee957c11478e0a&user=baidu&fm=sc&query=PHPWEB%CD%F8%D5%BE%B9%DC%C0%ED%CF%B5%CD%B3%BA%F3%CC%A8Kedit&qid=83f66f3b1ea5a9ec&p1=1
或者这里:http://madman.in/madman4/264.htm
关键字:inurl:down/class/index.php?myord=
感谢数据流的 思路,才有这个漏洞的发布。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
