如果你觉得本站还不错,为方便下次访问,可以【加入收藏】 最快知道本站更新,请订阅切换到繁體中文
百姓生活网
首页 | 时尚女性 | 家有爱车 | 妈妈宝贝 | 美食厨房 | 亲亲大自然 | 爱上摄影 | 电脑学堂 | 我爱我家 | 健康人生 | 小小书房 | 壁纸下载 | 影视评论 | 学英语 | 商业
养殖 | 种殖 | 产业信息
子 栏 目 导 航: 电脑学堂硬件资讯 软件资讯 网页设计 实战地带 互联八卦 游戏世界
您现在的位置: 百姓生活网 >> 点点滴滴 >> 电脑学堂 >> 软件资讯 >> 信息安全 >> 正文
动力文章系统漏洞的检测

作者:佚名    文章来源:本站原创    点击数:    更新时间:2005-10-13

漏洞版本:当前所有,包括官方站点

危险级别:高

 

漏洞介绍:

editor.asp验证不严格,导致暴露数据库位置

比如官方的站点:www.asp163.net

来到下面的地址www.asp163.net/editor.asp

竟然成功,我以前没研究过动力文章系统,不过我觉得这个里面肯定有点文章。一出来就是两幅图片,后台的

,,,恩,就从这里出发了。

初步探测:先修改下图片,然后提交。晕,果然不行!(这是很正常的,那个写程序的这么傻)

再次探测:看图片属性:http://www.asp163.net/Admin_login.asp。这个好啊,换成数据库的连接文件

http://www.asp163.net/inc/conn.asp(把那个删除,点上面的插入网页)

确定后奇迹出现了:

返回:

Microsoft JET Database Engine 错误 '80004005'

'E:.mdb'不是一个有效的路径。 确定

路径名称拼写是否正确,以及是否连接到文件存放的服务器。

/inc/conn.asp,行8

我再晕 官方网站的数据库竟然能下载~~~

本着黑客守则我是不能继续破坏了,留着吧,先告诉他们的管理员,人又不在,所以先写出来

我又试了试能不能跨站提交比如: http://www.hackerxfiles.net/bbs/conn.asp

不成功。

所以就放弃了,其实这个值得再深入研究一下。。。

整个探测过程不超过10分钟,值得注意的是漏洞之大

在发帖之时,官方站点未补好漏洞,希望看文章者也不要去恶意破坏,否则后果本人不负责!

发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口
  • 上一篇文章:

  • 下一篇文章:
  • 赞助商链接: | 阅读过这篇文章的网友,同时还还阅读了以下几篇文章:
    ldb文件 是什么?
    动力系统打印页面SQL注入漏洞
    留言本谢绝SPAM,防址垃圾留
    动易网络发布的漏洞补丁公告
    动力文章上传漏洞的本地利用
    动力3.51存在严重的文件上传漏洞
    动力(My Power)系统SQL注射漏洞
    MY动力系统3.51常见问题解答汇集(2)
    MY动力系统3.51常见问题解答汇集(1)
    原版动力3.51整合动网7.0SP2详细安装说明!

    本栏目最近更新的图片文章:
    Google

    学习强大的Regsvr32命令

    在一台服务器上实现多个We
    网友评论:(只显示最新10条。评论内容只代表网友观点,请注意礼貌用语,与本站立场无关!)

    ©2005 百姓生活网 www.y8u8.com 琼ICP备13000608号 网站地图