分类: 网络与安全
2009-05-12 18:47:37
作者:flaw0r
版本:v1.1a Bulid 20090413 Access Free
漏洞一:dingdan.asp注入漏洞
漏洞等级:严重
注入测试代码:
其实面对这套系统,真的很无语,和我之前分析的BOBO网店商城系统是一个内核,所以漏洞和BOBO的也就大同小异了,这里我只给出一个注入漏洞,真不知道现在的人都是怎么想的,拿别人的程序一改就能赚钱?鄙视偷窃别人源码,拿去卖钱的人!(不是说这套程序是作者抄袭别人的,我拿的这套也是免费的,先鄙视下BOBO)
后台有备份功能,所以拿SHELL也就相对简单些了。
网络实战:
在百度搜索:易和阳光购物商城
选定目标:
首先注册一个用户,随便选一个商品下个订单,然后到会员中心查看改订单
提交我们的测试语句:
就可以爆出所有管理员的用户名和密码了
拿到管理员密码登入后台,可以通过备份数据库来获得WEBSHELL
提示:google搜索:inurl:product.asp?Iheeoid= 可以找到一些使用此套系统的网站,大家行动吧
