我是在尘缘雅境图文系统V3.0(沸腾修改版)build20030123版本发现
经过实地测试,原版也存在此漏洞。只是修改版密码用了md5加密
经过实地测试,原版也存在此漏洞。只是修改版密码用了md5加密
存在漏洞页面:type.asp,Special_News.asp(可能还有,由于时间关系,我就不看了^_^)
确定存在漏洞之页面:type.asp,我利用这个页面SQLInjection拿到某学校网站的后台权限。不过在后台管理里不能上传asp文件,前段时间动网爆出了文件上传漏洞,不知道可不可以利用,还望高手指点
漏洞原因:没有过滤提交的url参数
关于SQLInjection漏洞的具体利用,呵呵,资料网上多的是,这里就不多说