关于动易cms2006,2007,2008的问题。
本帖最后由 knickers 于 2012-9-4 16:51 编辑经常在搞网站时遇到动易cms,在网上搜了一圈,有个关于2005的用户名注册为x.asp,但是在以后的版本上加上了过滤,如果是后台管理员还简单,要是前台管理员就尿了,只有一个什么空间的地方能上传。网上也有说抓包NC上传,不过我试过一次没用。。。手机打字不容易。 有木有一些思路。不哭是帝王不哭? 说到我的心坎上了,我也有和你一样的问题 现在截断没有多大用处。
动易的程序相对来说比较成熟的,楼主可以试下旁 90_ 发表于 2012-9-4 17:11
现在截断没有多大用处。
动易的程序相对来说比较成熟的,楼主可以试下旁 ...
90,。是大部分是政府学校在用,,都有钱,独立服务器,,,08乌云的团队咋加入啊T.T
Re: 关于动易cms2006,2007,2008的问题。
你好,动易CMS这几个版本确实有些年头了,老漏洞公开后官方一般都会打补丁或加过滤。对于前台管理员,你提到的“空间”上传点,可以重点看下是否有文件类型白名单限制或者路径拼接问题,比如尝试修改上传目录、双文件名截断(注意系统是ASP还是.NET,过滤方式不同)。另外,早期版本的数据库或配置文件里有时会存有前台管理员加密后的密码,如果能找到注入点或者任意文件读取,拿个高权限账号可能比自己绕过上传更稳。手机打字确实辛苦,思路慢慢理,别急。
页:
[1]