良精企业管理系统注入漏洞

2010, February 24, 4:00 PM. 漏洞集研
Submitted by admin

Xiaoz

漏洞文件:

en/DownloadShow.asp

chinese/DownloadShow.asp

漏洞利用:

在百度键入:
inurl: (DownloadShow.asp?DownID=)

在谷歌键入:
allinurl: DownloadShow.asp?DownID=

获得搜索页面地址复制下来.打开阿D2.32.将地址粘贴到检测地址栏里就会看到软件下方有很多可用注入点

比如:http://www.ioptron.cn/Chinese/DownloadShow.asp?DownID=50

删除:Chinese/DownloadShow.asp?DownID=50

在域名后面加上后台路径:BOSS 也就是http://www.ioptron.cn/boss/

漏洞说明:
downid,过滤不严,导致sql注入的产生

Tags: 良精

« 上一篇 | 下一篇 »

只显示10条记录相关文章
良精微博系统上传漏洞 (浏览: 12492, 评论: 0)
良精所有产品通杀 (浏览: 8679, 评论: 0)
彻底分析良精企业通用建站系统 (浏览: 15885, 评论: 0)
Trackbacks
点击获得Trackback地址,Encode: UTF-8 点击获得Trackback地址,Encode: GB2312 or GBK 点击获得Trackback地址,Encode: BIG5
发表评论

评论内容 (必填):