Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2281129
  • 博文数量: 181
  • 博客积分: 9990
  • 博客等级: 中将
  • 技术积分: 1865
  • 用 户 组: 普通用户
  • 注册时间: 2006-05-23 09:43
文章分类

全部博文(181)

文章存档

2011年(40)

2010年(17)

2009年(87)

2008年(37)

我的朋友

分类: 网络与安全

2009-05-12 18:47:37

作者:flaw0r
版本:v1.1a Bulid 20090413 Access Free
漏洞一:dingdan.asp注入漏洞
漏洞等级:严重
注入测试代码:

其实面对这套系统,真的很无语,和我之前分析的BOBO网店商城系统是一个内核,所以漏洞和BOBO的也就大同小异了,这里我只给出一个注入漏洞,真不知道现在的人都是怎么想的,拿别人的程序一改就能赚钱?鄙视偷窃别人源码,拿去卖钱的人!(不是说这套程序是作者抄袭别人的,我拿的这套也是免费的,先鄙视下BOBO)
后台有备份功能,所以拿SHELL也就相对简单些了。

网络实战:
在百度搜索:易和阳光购物商城
选定目标:
首先注册一个用户,随便选一个商品下个订单,然后到会员中心查看改订单
提交我们的测试语句:

就可以爆出所有管理员的用户名和密码了
拿到管理员密码登入后台,可以通过备份数据库来获得WEBSHELL
提示:google搜索:inurl:product.asp?Iheeoid= 可以找到一些使用此套系统的网站,大家行动吧

阅读(364) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~