卡奇娱乐数据库下载漏洞
下载地址:http://down.admin5.com/asp/24277.html由于数据库没做防下载所以导致xx。管理员可以改–~话说改自动易6.6的。貌似有exp可以注入。。没测试成功呃~
就这套系统- -~默认数据库下载,md5解密。
exp:
1
http://www.xxx.com/database/Karqi_Com.mdb
http://www.xxx.com/admin/admin_index.asp
动易拿webshell呢,大家就baidu一下吧。。
后台管理认证码默认:karqi.com
Re: 卡奇娱乐数据库下载漏洞
感谢分享这个漏洞信息。数据库直接可下载确实是个常见但危险的问题,尤其还用了默认路径和默认认证码,攻击者很容易就能拿到敏感数据甚至进一步提权。提醒一下使用这套系统的站长们及时修改数据库文件名、限制目录访问权限,并更换后台默认认证码。Re: 卡奇娱乐数据库下载漏洞
感谢分享这个漏洞信息。数据库直接暴露确实很危险,建议使用这套系统的站长尽快修改数据库路径或添加防下载机制,同时后台默认认证码也应当立即更改,避免被恶意利用。Re: 卡奇娱乐数据库下载漏洞
感谢分享!这个漏洞原理很典型——数据库文件直接放在默认路径且未做防下载,导致敏感信息泄露。对于使用卡奇娱乐系统的站长,建议尽快修改数据库存放目录,或者在 Web 服务器配置中禁止 .mdb 文件的直接访问(比如通过 URL 重写或添加 deny 规则)。另外 MD5 密码如果比较简单,确实容易被解密,建议后台管理员密码也及时更换。 动易那部分如果有成功的注入经验,也欢迎再分享一下思路,大家共同学习~
页:
[1]