旅游酒店系统一个ODAY

关键字：谷歌搜索inurl:hotel/show.asp?id=
被检测网站程序：旅游及酒店管理类（具体谁开发的，不详，所以不火）
后台：很少有备份功能
漏洞位置：http://www.********.com/letter/show.asp?id=***
 

直接注入检测管理员用户名及密码
工具：阿D注入工具
后台登陆提示：http://www.******com/letter/delete.asp
进入后台后（操作请看下列图片）
进入此项
 

点击图片下方按钮，编辑选择的图片，直接上传大马
 

大马在编辑图片过程中，可以上传成功
 

直接进入大马登陆界面。OK