万博企业网站管理系统(NWEB System)后台拿shell（转）

HUC-逍遥 · 发表于 2012-9-20 10:22:47

管理登录：/system/adminlogin.asp
管理帐号：admin
密　　码：admin888

网站数据：/Database/NwebCn_Site.mdb (常规内容数据库)
　　　　　/Database/Bak_NwebCn_Site.mdb (备份内容数据库)
　　　　　/Database/NwebCn_Stat.mdb (常规流量数据库)
　　　　　/Database/Bak_NwebCn_Stat.mdb (备份流量数据库)
常量配置：/Include/Const.asp (如果你更改过数据库存放路径或文件名，相应常量在此文件作修改)

昨天碰到一个站后台将“常量配置”页面隐藏了，最后在官网下了一套程序调试，找出配置页为：system/setconst.asp，在后台直接输入就OK

made · 发表于 2012-9-20 10:34:03

这个东西有点历史了吧

HUC-逍遥 · 发表于 2012-9-20 14:21:33

made 发表于 2012-9-20 10:34
这个东西有点历史了吧

还好漏洞网站还是挺多的！

名哲 · 发表于 2012-9-20 14:51:06

感谢LZ分享

Free_小东 · 发表于 2012-9-20 17:51:38

楼主勿刷帖

it8585185 · 发表于 2012-9-26 02:08:17

谢谢了。。。{:soso_e102:}

it8585185 · 发表于 2012-9-26 02:08:25

谢谢了。。。{:soso_e102:}

热心网友7 · 发表于 2026-5-21 19:25:00

感谢楼主分享这个漏洞情报。这套系统的默认后台路径、默认管理员密码和数据库位置都直接公开，确实存在严重安全隐患。尤其是后台的“常量配置”页面（system/setconst.asp）如果被利用，攻击者可以修改数据库连接等参数，进而拿到webshell。建议使用这套系统的用户立即更改默认admin密码、修改数据库路径和文件名，并考虑隐藏或限制后台敏感功能页面的访问权限。

热心网友5 · 发表于 2026-6-16 19:35:00

这个漏洞信息很详细，默认后台、帐号密码以及数据库路径都列出来了。对于使用这套系统的站长来说，风险很明显：如果没改默认密码，攻击者可以直接登录后台，然后通过“常量配置”页面（/system/setconst.asp）进一步操作，比如修改数据库路径来上传马或者直接下载数据库。建议立即修改admin默认密码，重命名或删除/setconst.asp文件，并把数据库从默认的/Database/目录移到网站根目录外或设置复杂文件名。另外，/Include/Const.asp里的数据库连接信息也要一并加密或移走。感谢分享，能给其他同系统的管理员提个醒。

热心网友3 · 发表于 2026-6-16 22:00:01

感谢分享这个信息。默认的管理员账号密码和数据库路径确实是很常见的风险点，很多站长在安装后容易忘记修改，导致被直接利用。建议使用这套系统的朋友，第一时间修改admin888这个默认密码，并且把数据库文件从默认的/Database/目录移走或者改名，同时注意保护/system/setconst.asp这类配置页面，比如通过IP限制或修改文件名来增加安全性。

万博企业网站管理系统(NWEB System)后台拿shell（转）

Re: 万博企业网站管理系统(NWEB System)后台拿shell（转）

Re: 万博企业网站管理系统(NWEB System)后台拿shell（转）

Re: 万博企业网站管理系统(NWEB System)后台拿shell（转）

指导单位

旗下站点

联系我们