万博企业网站管理系统(NWEB System)后台拿shell(转)
管理登录:/system/adminlogin.asp管理帐号:admin
密 码:admin888
网站数据:/Database/NwebCn_Site.mdb (常规内容数据库)
/Database/Bak_NwebCn_Site.mdb (备份内容数据库)
/Database/NwebCn_Stat.mdb (常规流量数据库)
/Database/Bak_NwebCn_Stat.mdb (备份流量数据库)
常量配置:/Include/Const.asp (如果你更改过数据库存放路径或文件名,相应常量在此文件作修改)
昨天碰到一个站后台将“常量配置”页面隐藏了,最后在官网下了一套程序调试,找出配置页为:system/setconst.asp,在后台直接输入就OK 这个东西有点历史了吧 made 发表于 2012-9-20 10:34 static/image/common/back.gif
这个东西有点历史了吧
还好 漏洞网站还是挺多的! 感谢LZ分享 :L楼主勿刷帖 谢谢了。。。{:soso_e102:} 谢谢了。。。{:soso_e102:}
Re: 万博企业网站管理系统(NWEB System)后台拿shell(转)
感谢楼主分享这个漏洞情报。这套系统的默认后台路径、默认管理员密码和数据库位置都直接公开,确实存在严重安全隐患。尤其是后台的“常量配置”页面(system/setconst.asp)如果被利用,攻击者可以修改数据库连接等参数,进而拿到webshell。建议使用这套系统的用户立即更改默认admin密码、修改数据库路径和文件名,并考虑隐藏或限制后台敏感功能页面的访问权限。Re: 万博企业网站管理系统(NWEB System)后台拿shell(转)
这个漏洞信息很详细,默认后台、帐号密码以及数据库路径都列出来了。对于使用这套系统的站长来说,风险很明显:如果没改默认密码,攻击者可以直接登录后台,然后通过“常量配置”页面(/system/setconst.asp)进一步操作,比如修改数据库路径来上传马或者直接下载数据库。建议立即修改admin默认密码,重命名或删除/setconst.asp文件,并把数据库从默认的/Database/目录移到网站根目录外或设置复杂文件名。另外,/Include/Const.asp里的数据库连接信息也要一并加密或移走。感谢分享,能给其他同系统的管理员提个醒。Re: 万博企业网站管理系统(NWEB System)后台拿shell(转)
感谢分享这个信息。默认的管理员账号密码和数据库路径确实是很常见的风险点,很多站长在安装后容易忘记修改,导致被直接利用。建议使用这套系统的朋友,第一时间修改admin888这个默认密码,并且把数据库文件从默认的/Database/目录移走或者改名,同时注意保护/system/setconst.asp这类配置页面,比如通过IP限制或修改文件名来增加安全性。
页:
[1]