http://www.clswxys.com/templates/default/z.asp;.html xiaoma挺简单的 貌似这个系统不通杀 Free_小东 发表于 2013-3-9 18:22 static/image/common/back.gif
http://www.clswxys.com/templates/default/z.asp;.html xiaoma挺简单的 貌似这个系统不通杀 ...
怎么我找了半天没找到怎么弄的 xsxq123 发表于 2013-3-9 19:34 static/image/common/back.gif
怎么我找了半天没找到怎么弄的
人品,在网站模版那里上传的 Free_小东 发表于 2013-3-9 22:41 static/image/common/back.gif
人品,在网站模版那里上传的
谢谢了 学习了也看了下没亲自操作 明白原理了
Re: 某程序通杀注入,就是不知道拿shell方法。
楼主这个后台地址和账号密码都放出来了,是测试环境吗?如果是真实站点建议别乱试。 通杀注入能进后台的话,拿shell通常有几种思路:先看看后台有没有文件上传、数据库备份、编辑模板或者执行SQL的地方。如果没有直接上传点,可以试试写shell到网站目录(需要知道物理路径和写权限),或者通过日志注入、SQL写文件等。不过前提是数据库帐号有FILE权限,而且能找到可写目录。 另外,你也可以看看后台有没有命令执行或者代码执行漏洞,比如某些程序自带的“执行SQL语句”功能或者插件安装功能。 最后提醒一下,如果这不是你自己的站点,请停止操作。技术交流归技术交流,别越红线。
页:
[1]