YYCMS音乐程序v4.0 VIP版默认数据库下载漏洞

作者：hack1990 时间：14-05-16 阅读数：753人阅读

YYCMS音乐程序 v4.0 VIP版，只是看了一下数据库文件 conn.asp 文件里数据库地址是

YYCMS_Data/#67tingdata.asa.刚开始以为这个是默认的数据库，后来查看数据库文件发现，数据库

是 /YYCMS_Data/#user.asa1

漏洞一：
YYCMS_Data/#user.asa1 没有做防下载处理老方法修改#号为 % 23(中间空格去掉) 可以直接下载

漏洞二：
后台地址 yyadmin/admin_login.asp 后台文件中还有个上传页面可以直接访问/upload.html

大家可以自己上传测试

# Nmap Security Scanner 7.0

上一篇：对iis的几个vbs脚本在渗透中的应用小节

下一篇：防止 Z-Blog 主题被扒皮的方法策略

相关文章

评论列表

屠龙

发布于 2014-05-18 17:13:23 回复
没用过，了解一下。

发表评论